0

Google api(oauth2.0) と DropBox api(oauth1.0) を扱っていますが、

Google サーバーからのみ呼び出すことができる redirect_uri と Dropbox サーバーからのみ oauth_callback を保護するにはどうすればよいのでしょうか。

私は彼らのIPをチェックしますか? URL は常に公開されているため、保護されていない場合、サーバーからの通知なしに誰かが uri を見つけて攻撃を行う可能性があります。

私が見逃したガイドラインはありますか?

[編集] redirect_uri と oauth_callback が実際には認証サーバーではなくクライアントによって呼び出されるというのは間違っていました。そのため、エンド ユーザーの IP をチェックして、トークンを要求しているユーザーと同じであることを確認する必要があります。

4

1 に答える 1

0

IPをチェックすることで攻撃を防いでいるとは思いません。通常のユーザーは自分のトークンを開示しないため、取得したトークンの偽のシークレットを取得するべきではありません。攻撃者がユーザーのコンピューターを制御してトークンを取得した場合、そのコンピューターを使用して、redirect_uri に要求を行うこともできるため、IP チェックが通過します。

一方、httpsトークンがネットワーク スニッフィングから保護されるように、OAuth フローに使用することを確認する必要があります。

于 2012-11-26T04:02:16.927 に答える