Mat*_*att 6 oauth oauth-2.0 angularjs angular-ui-router satellizer
我已将Satellizer与各种社交登录提供商(Facebook,Twitter,Google)合并到我的应用程序中.我的堆栈包括:AngularJS(UI路由器)和NodeJS/Express.
我似乎遇到了为用户身份验证设置动态回调URL的挑战.我的应用程序没有一致的登录URL,例如http://example.com/login因为我的所有URL都是动态的,基于令牌的,例如:http://example.com/XH12aT1771.实际上,我的登录用户体验是模态覆盖,并且没有任何一致的登录页面.
我的系统与OAuth集成的挑战是在通过模态覆盖将用户登录到我的应用程序之后,我想将它们放回到他们所在的确切房间(或令牌)中,而不是将它们重定向到某些回调URL页面.这将是一个糟糕的用户体验.
唯一的方法是让我的OAuth回调网址硬编码,例如:http://example.com/success然后在用户点击/success页面后将用户重定向回其令牌?这真的是做这种事的唯一方法吗?
如果您需要更多问题详情,请告诉我,谢谢您的帮助.
我不知道 Sattelizer 为您提供的选项,它也取决于授权服务器 (AS) 支持的选项,但是:
从安全角度来看,建议使用固定的回调 URL,以防止由于 AS 端的 URL 匹配损坏/马虎,或者由于嵌入的嵌入而导致 RP 端的令牌意外泄露给第三方而可能发生的一些攻击。不消耗令牌的页面上的图像/iframe 等。
因此,无论是否有其他方法,使用固定回调 URL 都是一种很好的安全实践,并且您可以(希望)将原始 URL 与发送出去的状态参数相关联,或者将其放入 cookie 中并在使用后恢复它回调 URL 上的令牌。
| 归档时间: |
|
| 查看次数: |
2595 次 |
| 最近记录: |