JSh*_*ami 11 android webview google-oauth google-cloud-platform google-cloud-logging
设置:
情况:
我收到了一封来自 Google 的电子邮件,指出我的 Web 应用程序客户端 ID 正在嵌入的 Web 视图中接收 OAuth 请求,我需要对这些 Web 视图进行一些更改以避免中间人攻击。这是一封类似的电子邮件:https ://groups.google.com/g/omegaup-soporte/c/xrspGg8T94o
此电子邮件的主题是:“[建议采取行动] 采取行动继续使用 Google 的 OAuth 授权端点”,第一个声明是“我们检测到嵌入式 Web 视图中的一个或多个 OAuth 客户端 ID 向我们的 OAuth 2.0 授权端点发出请求”过去 30 天内的情况。”
问题:
如上所述,我的应用程序是一个 Web 应用程序,怎么可能收到来自嵌入式 Web 视图的 OAuth 请求?
我也有类似的情况。我们在嵌入式 Web 视图中没有明确支持的登录流程。我发现,此流程可以由嵌入 Web 视图中的用户从不同的应用程序导航到您的网站并尝试登录来触发。
您可以在浏览器中自行测试这一场景,方法是将您的用户代理伪装成嵌入式 Web 视图中的用户代理。例子:Mozilla/5.0 (Linux; Android 13; SM-G986U1 Build/TP1A.220624.014; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/111.0.5563.116 Mobile Safari/537.36 WEBVIEW TEST/1.3.1.106 (Phone; anonymous)
您无法真正阻止某人尝试从另一个应用程序的 Web 视图导航到您的网站,但这至少解释了为什么我们尽管不支持特定的 Web 视图身份验证流程,但还是收到了电子邮件。
| 归档时间: |
|
| 查看次数: |
2824 次 |
| 最近记录: |