OAuth 2进程从授权服务器而不是客户端的服务开始

时间:2018-10-09 14:52:33

标签: oauth-2.0

我具有遵循授权代码流程(rfc)的OAuth2.0授权服务器,并且运行正常。

让我们总结一下用户访问另一个与我的授权服务器建立关系的网站(称为网站A)时的过程。

  1. 用户点击链接或其他内容
  2. 他被重定向到我的服务器(在AuthorizeEndpoint上),在那里他可以登录并同意某些事情
  3. 使用授权码返回网站A
  4. 网站A与访问和刷新令牌交换授权代码,然后他就可以使用其令牌请求API

我的问题是:如果用户访问我的网站而不是网站A,是否可以征得同意,然后使用授权码将他重定向到网站A,即使网站A做了不做最初的要求吗?换句话说,如果用户已经已经在我的网站上,可以“跳过”第一步吗?还是我在“违反”标准?

1 个答案:

答案 0 :(得分:0)

我做了一些研究,看来我不能这样做,因为在这种情况下,state参数不可用,因此我无法再阻止CSRF攻击了。

相关问题
最新问题