Redirect OAuth重定向URL验证
我正在我办公室的现有OAuth系统上工作。 前一位工程师离开了,我对OAuth系统没有真正的经验 所以我读了一些关于OAuth的文档。我看到我的办公室,作为OAuth服务器 正在从客户端获取身份验证代码时获取重定向URL 然后我看到一个验证,它阻止重定向URL中的单个字符 例如: 1号可以通过,但2号不能Redirect OAuth重定向URL验证,redirect,oauth,Redirect,Oauth,我正在我办公室的现有OAuth系统上工作。 前一位工程师离开了,我对OAuth系统没有真正的经验 所以我读了一些关于OAuth的文档。我看到我的办公室,作为OAuth服务器 正在从客户端获取身份验证代码时获取重定向URL 然后我看到一个验证,它阻止重定向URL中的单个字符 例如: 1号可以通过,但2号不能 你们认为前一位工程师做这个验证有什么原因吗?是否有一个标准,不放一个字符,如样本号2?谢谢你我不确定你说的“单个字符”是什么意思,但是你的授权服务器允许的重定向URL绝对应该被列入白名单,
你们认为前一位工程师做这个验证有什么原因吗?是否有一个标准,不放一个字符,如样本号2?谢谢你我不确定你说的“单个字符”是什么意思,但是你的授权服务器允许的重定向URL绝对应该被列入白名单,只允许注册重定向URL。任何添加的子域或路径都会导致请求被拒绝。否则,攻击者可以创建对最终用户有效的OAuth请求,但实际上会将它们(使用授权码)重定向到服务器。您是想说,只要域名注册并匹配,实际上就没有关于域名的特定约束,是吗,除了重定向URI是有效的URI之外,OAuth规范中没有其他限制。