谷歌使用授权重定向URI进行回调以传递授权令牌。
它也用于谷歌验证。因此,当收到实际的oauth请求时,Google会检查请求中给出的回调网址是否与"授权重定向URI"如果没有,它会引发错误。
我的要求是阻止谷歌进行此验证,因为我希望能够在运行时传递不同的回调网址。我尝试过授权重定向URI"虽然空洞,但那不起作用。有什么建议吗?
答案 0 :(得分:3)
是的,在Google OAuth 2.0中,虽然您无法在REDIRECT URIS中设置任何uris,但它没有任何意义。客户端注册和oauth流(授权代码流和隐式流)需要重定向uri。 缺少重定向URI注册要求可使攻击者能够将授权端点用作an open redirector。
您提到LinkedIn启用了打开redirectURI。这在安全性方面是不可接受的。而且我注意到LinkedIn已经解决了这个问题。
为了使LinkedIn平台更加安全,因此我们可以遵守OAuth 2的安全规范,我们要求使用OAuth 2的用户通过以下方式注册您的应用程序重定向网址2014年4月11日。
答案 1 :(得分:1)
不,授权重定向URI不是必需的。
例如,请参阅https://developers.google.com/+/web/signin/javascript-flow
quickstart示例甚至展示了如何使用不同的回调网址