Zen*_*nil 9 google-api google-oauth google-oauth-java-client
谷歌使用授权的重定向URI来进行回调以传递授权令牌.
它也用于谷歌验证.因此,当收到实际的oauth请求时,Google会检查请求中给出的回调网址是否与"授权重定向URI"相同,如果不是,则会抛出错误.
我的要求是阻止谷歌进行此验证,因为我希望能够在运行时传递不同的回调网址.我尝试将"授权重定向URI"作为空,但这不起作用.有什么建议 ?
是的,在 Google OAuth 2.0 中,虽然您可以在 REDIRECT URIS 中设置 no uri,但这没有任何意义。客户端注册和oauth流程(授权码流程和隐式流程)中需要重定向uri。缺乏重定向 URI 注册要求可能使攻击者能够将授权端点用作开放重定向器。
您提到LinkedIn启用了开放redirectURI。这在安全方面是不可接受的。我注意到 LinkedIn 已经解决了这个问题。
为了使 LinkedIn 平台更加安全,以便我们能够遵守 OAuth 2 的安全规范,我们要求使用 OAuth 2 的用户在 2014 年 4 月 11 日之前向我们注册您的应用程序的重定向 URL。
| 归档时间: |
|
| 查看次数: |
12806 次 |
| 最近记录: |