#dpop

OAuth 2.1 时代浏览器应用的安全边界：从 PKCE 到 BFF 的工程审计

RFC 9700 与 OAuth 2.1 将 PKCE 从可选提升为强制、废弃了 Implicit Flow，但浏览器应用的令牌安全边界并未因此自动闭合。本文从授权码拦截、令牌窃取、XSS 与 CSRF 四条攻击链出发，逐项审计纯前端 SPA、Token-Mediating Backend 与 BFF 三种架构的真实安全边界，给出可落地的选型矩阵与检查清单。