Google OAuth 2.0实施 - 注册

Question

在Google开发者控制台中，当您创建用于OAuth 2.0的新应用凭据并指定Web应用时，它会请求您注册回调URI和JavaScript源。

我没有准确理解注册这些内容的必要性。

对于回调URI，可能会阻止向用户提供恶意页面的第三方获取授权代码。但是，客户端ID和机密仍隐藏在应用服务器中，因此恶意应用程序无法做任何事情吗？

此外，如果已经注册了回调URI，那么单独注册JS源的内容就完成了。与回调URI注册不同，OAuth 2.0规范没有提及，这是谷歌选择实施的。

感谢您的帮助！

Answer 1

当您请求令牌时，该令牌将传递给回调URL。通过仅允许您在API控制台中配置的回调URL，您可以防止恶意用户欺骗请求并将令牌发送给第三方。我怀疑您错过的OAuth方面是回调是通过浏览器重定向发送的，所以很容易伪造。

回调网址是OAuth服务器流程的一部分。

JS Origins在您使用客户端（Javascript）OAuth流时发挥作用。他们确保任何OAuth请求来自您网站上的网页。

服务器流程是......

Answer 2

好的，我想我从阅读规范中了解了一点。 https://tools.ietf.org/html/rfc6749#section-10.6

防止同一客户端的用户攻击攻击者可以在同一客户端创建帐户并启动身份验证流程，但他用自己的URI替换重定向URI。 / p> 然后他欺骗受害者跟踪链接以授权他们使用的同一合法客户。但是，auth代码现在发送给攻击者URI。

然后，攻击者通过向客户端提供auth代码来完成流程，客户端使用该代码完成获取令牌的流程。但是，此令牌可能与客户端与攻击者关联，允许他冒充受害者。