0

我正在处理 Google api(oauth2.0) 和 DropBox api (oauth1.0),

只是想知道如何保护只能由谷歌服务器调用的redirect_uri和只能由Dropbox服务器调用的oauth_callback。

我检查他们的 ip 吗?由于 url 始终是公开的,如果没有对其进行保护,可能有人会在没有任何服务器通知的情况下找到 uri 并进行攻击。

有没有我错过的指导方针?

[编辑]我错了,redirect_uri 和 oauth_callback 实际上是由客户端调用的,而不是身份验证服务器。所以我应该检查最终用户的 ip 以确保他们是同一个请求令牌的人。

4

1 回答 1

0

我认为您不会通过检查 IP 来防止任何攻击。普通用户不会泄露他们的代币,所以你不应该得到你获得的代币的虚假秘密。如果攻击者控制了您用户的计算机并获得了令牌,他们也可以使用该计算机向您的 redirect_uri 发出请求,因此 IP 检查将通过。

另一方面,您应该确保https用于 OAuth 流,以便保护令牌免受网络嗅探。

于 2012-11-26T04:02:16.927 回答