隐式授权重定向URI的必要性是什么?

时间:2017-06-07 21:16:15

标签: security authentication oauth oauth-2.0

似乎在Implicit Grant OAuth流程中,重定向URI是必需的,它必须是

  • 与原始URI不同
  • 与原始URI相同的域

为什么需要重定向URI?具体来说它会阻止哪些安全攻击?为什么原点只能有javascript来侦听令牌响应而不是从重定向URI接收它?

1 个答案:

答案 0 :(得分:0)

重定向URI提高安全性的一种方法是需要在OAuth服务器上为客户端应用程序预定义重定向URI。这可以防止客户端应用程序将登录用户重定向到Internet上的任何URI;该应用只能重定向到预先批准的URI。因此,如果有人窃取客户端ID并使用该客户端ID创建新应用,则需要使用相同的重定向URI。