Blog

OAuth2 PKCE, yenileme belirteci ve token uç noktasında CORS

Genel istemciler PKCE kullanır; yenileme akışları SPA’lar için kesin CORS başlıkları gerektiren token URL’lerine gider.

Yayın: 2025-11-02Güncelleme: 2025-11-051 dk okuma

oauth2pkcecors

Token uç noktası CORS

Token uç noktasında yalnızca güvenilen web origin’lerine izin verin; kimlik bilgili akışlarda joker yansıtma yapmayın.

Yetkilendirme ve token farklı hostlardaysa CORS politikalarını ayırın.

Yenileme belirtecini düz metin loglamayın.

Kullanıcı başına anormal yenileme oranında uyarın.