我正在处理在其他网页中加载iframe的应用程序。当用户启动应用程序时,我收到了对我的应用程序的请求,如下所示:
www.mypage.com/?user=1234
然后我的应用将用户重定向到
https://login.host.com/oauth2?response=code&client_id=my_app_id&scope=&安培; REDIRECT_URL = www.mypage.com /?索引/ loadApp
给定用户ID用于检查数据库中是否已有令牌,如果没有 - 接收的代码用于接收新的访问令牌。
问题如下: 如何防止未在www.host.com上从i-frame调用的呼叫?请求“www.mypage.com/?user=1234”可以在firebug控制台中看到,因此,如果有人在浏览器中手动输入此URL,他可以为随机用户启动应用程序。更重要的是,如果在DB中找到这样的令牌,人们将会看到这个随机的用户数据!
我对所有请求使用请求签名。但我不知道如何处理第一个请求(www.mypage.com/?user=1234)。
在这种情况下,最好的做法是什么?
谢谢!
答案 0 :(得分:0)
从本质上讲,您的问题是您的网站未对第一个请求使用任何身份验证!您需要为其他网页提供一些方案来签署请求,并在执行重定向之前验证该签名。
(另外,请确保重定向的网址也执行适当的身份验证...)