google 使用授权的重定向 URI 来执行回调以传递授权令牌。
它也被谷歌用于验证。因此,当接收到实际的 oauth 请求时,google 会检查请求中给出的回调 url 是否与“授权重定向 URI”相同,否则会引发错误。
我的要求是阻止 google 进行此验证,因为我希望能够在运行时传递不同的回调 url。我尝试将“授权重定向 URI”设为空,但这不起作用。有什么建议么 ?
问问题
14139 次
2 回答
3
是的,在 Google OAuth 2.0 中,虽然您可以在 REDIRECT URIS 中设置 no uris,但它没有任何意义。客户端注册和 oauth 流程(授权码流程和隐式流程)中需要重定向 uri。缺少重定向 URI 注册要求可以使攻击者将授权端点用作开放重定向器。
您提到 LinkedIn 启用了 open redirectURI。这在安全方面是不可接受的。我注意到 LinkedIn 已经解决了这个问题。
为了使 LinkedIn 平台更加安全,以便我们能够遵守 OAuth 2 的安全规范,我们要求使用 OAuth 2 的用户在 2014 年 4 月 11 日之前向我们注册应用程序的重定向 URL。
于 2014-08-22T05:35:36.577 回答
1
不,授权重定向 URI 不是强制性的。
例如,参见https://developers.google.com/+/web/signin/javascript-flow
快速入门示例甚至展示了如何使用不同的回调URL
于 2014-11-28T05:59:29.967 回答