OAuth 2認証コードフローは、混乱した代理問題に対して脆弱ですか？

Authentication Code許可フローでは、認証サーバーは、2番目のクライアントとは異なるクライアントに提供された認証コードを把握できます。

認証コードを取得するには、以下のサンプルリクエストが悪意のあるクライアントから発行されます。

GET /authorize?response_type=code&client_id=<malicious client ID>&state=xyz
        &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
Host: server.example.com

認証サーバーは、認証コード要求が成功した結果として、認証コードとクライアントIDのマッピングを保持することに注意してください。

これで、悪意のあるクライアントがこの認証コードを2番目のクライアントのリダイレクトURIに提供し、2番目のクライアントが認証トークンを要求します。以下のサンプル：

POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

クライアントIDとシークレットはAuthorizationヘッダーにエンコードされていることに注意してください。その結果、認証サーバーがこのような情報を処理するときに、リクエストのクライアントIDが認証コードのクライアントIDと一致するかどうかを確認できます。最初に割り当てられました。この場合、一致はありません。その結果、認証サーバーはリクエストに応答してアクセストークンを許可しません。

つまり、バックエンドで認証サーバーによって実行されるクライアントIDのチェックにより、認証コードと引き換えに返されるすべてのトークンがアプリケーションに対して発行されたことが保証されます。