我正在使用Spring OAuth 2.0,我希望保护我的应用程序免受URL重定向攻击。有没有办法在授权服务器上验证重定向URL?
答案 0 :(得分:1)
如果redirect_uri与客户端注册的匹配,授权服务器应仅执行重定向。因此,您无需进行单独检查。
如果有疑问,请尝试使用完全不同的redirect_uri发送授权请求,看看会发生什么。
答案 1 :(得分:0)
应该实现ClientDetailsService类并配置注册的重定向uri。
@Service
@Transactional
public class CustomClientDetailsService implements ClientDetailsService {
@Override
public ClientDetails loadClientByClientId(String clientId) {
String registeredRedirectUris; // Get registeredRedirectUris
BaseClientDetails clientDetails = new BaseClientDetails();
clientDetails.setRegisteredRedirectUri(registeredRedirectUris);
return clientDetails;
}
}