如果我使用State参数来控制RedirectURI,如此处所述:"Why is Redirect URL Fully Qualified in Azure AD B2C?",我是不是会受到Open Redirect Vulnerabilities的影响?
Haven我刚刚将问题从RedirectURI移到了State参数?
答案 0 :(得分:1)
状态参数可用于在再次启动应用程序后控制重定向。令牌只会到达一个地方(由重定向网址指定)。之后,应用程序可以安全地控制令牌,并可以查看状态参数以确定用户/令牌是否应该转到其他位置。这在各种情况下都很有用,例如在您创建基于新闻的应用程序的情况下,您需要知道他们尝试从哪个文章登录。然后,他们将被重定向回同一篇文章,以便他们可以继续阅读。
答案 1 :(得分:0)
State参数是不透明的,应用程序应在从授权服务器返回时进行验证(例如加密,签名等)。
来自Omer Iqbal的评论