我的问题可能看起来很愚蠢,但我真的不明白 - 从请求中捕获redirect_uri并将其与clients表中指定的URI进行比较的目的是什么?这是由于安全问题吗?
答案 0 :(得分:1)
预注册重定向URI本身是一种安全措施,因为OAuth 2.0中的授权请求未签名。攻击者可能会欺骗用户点击一个链接,该链接会导致授权请求,redirect_uri指向他们控制的网站。
在请求中发送redirect_uri本身并不是出于安全目的,但只是为了让授权服务器知道客户端想要接收授权响应的位置,如果为此注册了多个重定向URI特别是客户。
无论如何,redirect_uri参数都是可选的。如果只有一个已注册,则可以从请求中省略redirect_uri参数。如果注册了多个重定向URI并且请求中未提供重定向URI,则结果未指定:AS可以选择第一个,任何人或不选择任何一个。