0
我的问题可能看起来很愚蠢,但我真的不明白 - 从请求中捕获redirect_uri并将其与客户端表中指定的URI进行比较的目的是什么?是否由于安全问题?Oauth2服务器重定向URI
A
回答
1
预先注册重定向URI本身是一种安全度量,因为OAuth 2.0中的授权请求未经过签名。攻击者可以通过点击一个链接来钓鱼用户,该链接将导致一个redirect_uri指向他们控制的网站的授权请求。
在请求中发送redirect_uri本身并不是出于安全目的,而是在授权服务器知道客户端在哪些客户端想要接收授权响应的情况下,在为此特定客户端注册多个重定向URI的情况下。
redirect_uri参数可以按规格随意选择。如果只有一个注册,则请求中可以省略redirect_uri参数。如果注册了多个重定向URI,并且请求中没有提供重定向URI,则结果未指定:AS可以选择第一个,任何人或任何一个。
相关问题
- 1. Oauth2 Instagram API“重定向URI与注册重定向URI不匹配”
- 2. Nginx的代理服务器重定向到另一个URI
- 3. 指定多个重定向的URI对于Facebook的OAuth2
- 4. 的oauth2服务器
- 5. 微软Azure - 谷歌的OAuth2重定向URI不匹配
- 6. Google OAuth2 API重定向URI用于Rails开发iPad测试
- 7. OAuth2:为什么我需要验证重定向uri
- 8. Oauth2 Android应用程序的重定向URI
- 9. Uber api oauth2错误:没有提供代码的重定向URI
- 10. Dropbox重定向uri
- 11. Android重定向uri
- 12. 服务器到服务器oauth2
- 13. OAuth2:如何向OAuth2服务器发送“拒绝”请求?
- 14. App> OAuth2服务器> Facebook> OAuth2服务器> App
- 15. 的Instagram:重定向URI不匹配,注册重定向URI
- 16. URL重定向问题不重定向在服务器上
- 17. Akamai的重定向到原始服务器302重定向
- 18. 邮件服务器重定向到另一台服务器
- 19. Apache Web服务器后端服务器重定向规则
- 20. 本地Django服务器重定向到Sentry服务器
- 21. 如何通过.htaccess将服务器重定向到服务器?
- 22. 请求重定向到达服务器时到达服务器
- 23. 重定向到安全服务器(https)
- 24. 服务器工作时重定向
- 25. Angular 2服务器端重定向
- 26. 服务器端URL重定向
- 27. HAproxy web服务器重定向
- 28. IIS服务器重定向位置
- 29. GoDaddy htaccess重定向Linux服务器
- 30. web.config重定向IIS服务器
所以,我只需要比较请求中指定的redirect_uri的主机? –
否,因为redirect_uri所在的网站或主机的部分可能由客户控制。严格的匹配是最好的安全策略。 –
但是,如果请求中的重定向uri必须严格符合已经在我的服务器中注册的uri,为什么我不能使用它(uri在我的服务器中指定)重定向? –