我正在处理 Google api(oauth2.0) 和 DropBox api (oauth1.0),
只是想知道如何保护只能由谷歌服务器调用的redirect_uri和只能由Dropbox服务器调用的oauth_callback。
我检查他们的 ip 吗?由于 url 始终是公开的,如果没有对其进行保护,可能有人会在没有任何服务器通知的情况下找到 uri 并进行攻击。
有没有我错过的指导方针?
[编辑]我错了,redirect_uri 和 oauth_callback 实际上是由客户端调用的,而不是身份验证服务器。所以我应该检查最终用户的 ip 以确保他们是同一个请求令牌的人。