oauth - 为什么在令牌调用中验证 redirect_uri(代码到令牌交换)
问题描述
我还没有在网上看到关于它所保护的特定安全漏洞的很好解释。
假设 OAuth 提供者在对授权端点的初始调用中验证了 redirect_uri,那么为什么提供者还必须在对令牌端点的后续反向通道调用中验证 redirect_uri(验证码到令牌交换)?
甚至规范也只提到授权代码重定向 URI 操作是一个漏洞,可以通过单独检查 auth 端点来防止。
此解释未链接到实际的漏洞或利用:“作为附加的安全措施,服务器应验证此请求中的重定向 URL 是否与此授权代码的初始授权请求中包含的重定向 URL 完全匹配。”
解决方案
推荐阅读
- javascript - 使用 javascript 连接多个表单输入值
- javascript - 在页面加载时触发两个 javascript 函数的问题
- java - 使用 junit 进行 MQTT 客户端测试
- javascript - 如何知道一个 div 完全包含另一个
- java - 如何仅从 xml 文件中删除 encoding=UTF8
- javascript - API JIVE 搜索问题和讨论
- db2 - DB2 将两个 longvarchar 列连接成新的 CLOB 列
- algorithm - 枢轴时快速排序的时间复杂度(将列表拆分为 90%:10%)(对于均匀深度,总是最小元素)
- documentation - 如何在文档中并排显示代码和伪代码?
- ruby-on-rails - 使用活动存储映像获取 MD5 哈希