虽然我正在为本机应用程序设计授权流程,但我注意到,如果在不限制使用自定义URI方案的情况下实现ImplicitFlow,则存在安全风险。
RFC8252提供了本机应用程序的最佳实践,可以认为是替代OIDC ImplicitFlow的本机应用程序。
但是,如果我们的授权服务器支持redirect_uri的自定义URI方案,则OIDC HybridFlow for native app也存在相同的风险,因为授权服务器将通过redirect_uri进行重定向并将访问令牌直接发送到本地app。
RFC8252对于本机应用程序和应用程序服务器均存在并且应该将访问令牌发送到两者的场景没有给出最佳实践。
我是限制自定义URI方案使用的唯一选择吗?我不想这么做,因为我们的应用仍然支持ios <9和android <6。