<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title></title>
</head>
<body>
<div name="messageBodySection">
<div dir="ltr">So, what is the best practices for native app + server based client? There can be several patterns but I don't think we have actually documented them.</div>
<br />
<div dir="ltr">An app getting ID token using PKCE and sending it over to the server does not feel right as the binding between the App and the server component is pretty weak.</div>
<br />
<div dir="ltr">An app sending a PKCE request and getting back the code that is being sent to the server with the code verifier that are used by the server component to obtain ID Token feels a bit better.</div>
<br />
<div dir="ltr">Any suggestions?</div>
</div>
<div name="messageSignatureSection"><br />
Nat Sakimura<br />
Chairman, OpenID Foundation<br />
https://nat.sakimura.org</div>
</body>
</html>