我还没有在网上看到关于这种保护所针对的特定安全漏洞的很好的解释。
假设OAuth提供者在对授权端点的初始调用中验证了redirect_uri,那么为什么提供者还必须在随后的对令牌端点的反向通道调用(对令牌交换的认证代码)中也验证redirect_uri?
即使规范仅提到Authorization Code Redirection URI Manipulation,也可以通过仅在auth端点中进行检查来防止此漏洞。
This explanation并未链接到实际的漏洞或漏洞利用: “作为一种额外的安全措施,服务器应验证此请求中的重定向URL与该授权代码的初始授权请求中所包含的重定向URL完全匹配。”