我正在处理Google api(oauth2.0)和DropBox api(oauth1.0),
只是想知道如何保护只能通过谷歌服务器调用的redirect_uri 和 仅限Dropbox服务器执行oauth_callback。
我检查他们的IP吗?由于网址始终是公开的,如果没有保护,可能会有人找到uri并在没有任何通知的情况下进行攻击。
有没有我错过的指导方针?
[编辑] 我错了,redirect_uri和oauth_callback实际上是由客户端调用的,而不是auth服务器。所以我应该检查最终用户ip以确保它们是请求令牌的同一个用户。
答案 0 :(得分:0)
我认为您不会通过检查IP来阻止任何攻击。普通用户不会透露他们的令牌,因此您不应该获得您获得的令牌的伪造秘密。如果攻击者控制用户的计算机并获取令牌,他们也可以使用计算机向您的redirect_uri发出请求,以便进行IP检查。
另一方面,您应该确保使用https作为OAuth流,这样就可以保护令牌免受网络嗅探。