10

承認されたリダイレクト URI は、Google がコールバックを実行して承認トークンを渡すために使用されます。

また、Googleによる検証にも使用されます。そのため、実際の oauth リクエストを受信すると、Google はリクエストで指定されたコールバック URL が「承認済みリダイレクト URI」と同じかどうかを確認し、そうでない場合はエラーをスローします。

私の要件は、実行時にさまざまなコールバック URL を渡すことができるようにしたいので、Google がこの検証を行わないようにすることです。「承認済みのリダイレクト URI」を空にしてみましたが、うまくいきません。助言がありますか ?

4

2 に答える 2

3

はい、Google OAuth 2.0 では REDIRECT URIS に URI を設定できませんが、意味がありません。クライアント登録と oauth フロー (認可コード フローと暗黙的フロー) では、リダイレクト uri が必要です。リダイレクト URI の登録要件がないため、攻撃者は承認エンドポイントをオープン リダイレクタとして使用できます。

あなたは、LinkedIn が open redirectURI を有効にしたと述べました。これはセキュリティ上受け入れられません。そして、LinkedIn がこの問題を修正していることに気付きました。

LinkedIn プラットフォームをさらに安全にし、OAuth 2 のセキュリティ仕様に準拠できるようにするため、OAuth 2 を使用している方は、2014 年 4 月 11 日までにアプリケーションのリダイレクト URL を登録していただくようお願いしています。

これがLinkedInの発表です。

于 2014-08-22T05:35:36.577 に答える