OAuth2:为什么我需要验证重定向uri
问题描述:
在此authorization endpoint oltu implementation example Oltu提供了一个关于如何制作符合OAuth2.0的授权服务器的示例。OAuth2:为什么我需要验证重定向uri
在那个例子中有一个validateRedirectionURI(oauthRequest)。有人可以解释它的作用吗?
答
这是为了防止在攻击者通过在身份验证请求中发送伪造的重定向URI获取授权码的情况下进行模仿攻击,接收带有该重定向URI上的代码的响应并随后“对该合法的客户端,从而冒充原始用户。此安全考虑在规范中描述如下:https://tools.ietf.org/html/rfc6749#section-10.6