OAuth2:为什么我需要验证重定向 uri
OAuth2: why do I need to validate redirect uri
在此 authorization endpoint oltu implementation example 中,Oltu 提供了一个有关如何制作符合 OAuth2.0 的授权服务器的示例。
在那个例子中有一个 validateRedirectionURI(oauthRequest)。有人可以解释一下它的用途吗?
这是为了防止攻击者通过在身份验证请求中发送伪造的重定向 URI 来获得授权码,并在该重定向 URI 上接收带有代码的响应,然后“回放”代码以防止模拟攻击合法客户端,从而冒充原始用户。此安全注意事项在此处的规范中进行了描述:https://www.rfc-editor.org/rfc/rfc6749#section-10.6
在此 authorization endpoint oltu implementation example 中,Oltu 提供了一个有关如何制作符合 OAuth2.0 的授权服务器的示例。
在那个例子中有一个 validateRedirectionURI(oauthRequest)。有人可以解释一下它的用途吗?
这是为了防止攻击者通过在身份验证请求中发送伪造的重定向 URI 来获得授权码,并在该重定向 URI 上接收带有代码的响应,然后“回放”代码以防止模拟攻击合法客户端,从而冒充原始用户。此安全注意事项在此处的规范中进行了描述:https://www.rfc-editor.org/rfc/rfc6749#section-10.6