我有一个使用Google API的网络应用。验证过程会对Google进行两次调用,第一次调用code,第二次调用code来调用token。两个调用都采用redirect_uri参数。第一个调用使用此参数,我预期,重定向回redirect_uri,然而,第二个调用,获取令牌,不重定向,禁止验证它似乎忽略此参数,所以有什么意义它?
答案 0 :(得分:4)
OAuth 2.0 specification中的访问令牌请求中的redirect_uri参数被描述为必需参数。
背后的原因在同一文档的10.6部分中有详细描述。简而言之:
request_uri授权请求来获取授权码。能够注意到这一伎俩的唯一两方是受害者(合法用户)和服务器。客户仍然不知道这些操纵。redirect_uri与服务器看到的客户端{{1}}不匹配,因此请求将被拒绝。