oauth2.0重定向_uri,oauth1.0 oauth_回调保护
我正在处理Google api(oauth2.0)和DropBox api(oauth1.0) 只是想知道如何保护只能由google服务器调用的重定向uri 和 oauth_回调仅由Dropbox服务器执行 我要检查他们的ip吗?由于url始终是公共的,如果没有对其进行保护,可能会有人发现uri并在服务器未发出任何通知的情况下进行攻击 有没有我遗漏的指导方针 [已编辑]oauth2.0重定向_uri,oauth1.0 oauth_回调保护,oauth,google-api,oauth-2.0,dropbox,dropbox-api,Oauth,Google Api,Oauth 2.0,Dropbox,Dropbox Api,我正在处理Google api(oauth2.0)和DropBox api(oauth1.0) 只是想知道如何保护只能由google服务器调用的重定向uri 和 oauth_回调仅由Dropbox服务器执行 我要检查他们的ip吗?由于url始终是公共的,如果没有对其进行保护,可能会有人发现uri并在服务器未发出任何通知的情况下进行攻击 有没有我遗漏的指导方针 [已编辑] 我错了,重定向uri和oauth回调实际上是由客户端调用的,而不是由身份验证服务器调用的。因此,我应该检查最终用户ip,以确保
我错了,重定向uri和oauth回调实际上是由客户端调用的,而不是由身份验证服务器调用的。因此,我应该检查最终用户ip,以确保它们与请求令牌的ip相同 我不认为你通过检查IP来阻止任何攻击。普通用户不会透露他们的代币,所以你不应该为你获得的代币获取虚假秘密。如果攻击者控制您用户的计算机并获得令牌,他们还可以使用该计算机向您的重定向uri发出请求,因此IP检查将通过 另一方面,您应该确保对OAuth流使用
https