个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我们正在编写一个与 OAuth2 api 集成的插件。
棘手的部分是我们不能像在大多数集成中那样对重定向 URI 进行硬编码,因为客户端可以在他们控制的任何域上安装这个插件(想想 Wordpress 插件),并且访问 token 需要重定向回他们的自定义 url。
我们看到您可以设置 state参数也在 OAuth2 中。所以我们可以将重定向 URI 硬编码为 http://oursite.com/callback并将状态设置为 https://[CUSTOM_URL] .
然后http://oursite.com/callback将额外重定向到自定义 URL,传递访问 token 。
然而,这似乎是一个安全漏洞,因为一旦用户对应用程序进行了身份验证,其他人可能会出现并使用他们自己在 state 中的 URL 重新进行身份验证。参数。然后它会很高兴地重定向到他们的错误 url 并将访问 token 传递给他们。
那么人们如何设置重定向 uri 可以变化的 OAuth2 集成呢?谢谢!
附言我们想到的一种解决方案是只允许 state如果重定向 uri 是我们控制的 url,则使用参数。然后我们可以创建另一个验证页面,再次提示用户:“您要允许 https://customurl.com 访问您的帐户...”。但我们认为可能有更好的方法。
最佳答案
对于动态客户端地址,可能值得考虑使用基于 localhost 的重定向 URI。这听起来可能违反直觉,但由于 OAuth2 是基于浏览器/httpclientlib 的协议(protocol),因此它可以工作。来自服务器授权端点的重定向是由您自己的浏览器完成的,因此 localhost 作为 redirect_uri 始终可以正确解析。因此,无论您在何处部署应用程序,您仍然可以修复 redirect_uri。
该解决方案也有其含义,您应该考虑架构和安全后果。基于 localhost 的 redirect_uri 非常适合隐式授权场景(即 javascript 客户端),但我认为对于授权代码授权场景(即远程 Web 应用程序),您应该使用可远程访问的主机名。
关于OAuth2 变量 redirect_uri,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17626054/
24
4
0
我在SO上看过这里,并且找到了有关redirect_uri的几篇文章,但是我似乎无法弄清楚如何将Localhost用作我的重定向uri。希望任何人都可以向我解释。 亲切的问候, 最佳答案 您可以按照S
我们正在编写一个与 OAuth2 api 集成的插件。 棘手的部分是我们不能像在大多数集成中那样对重定向 URI 进行硬编码,因为客户端可以在他们控制的任何域上安装这个插件(想想 Wordpress
当我尝试从我的 api 访问 keycloak 来验证用户身份时,但它给我错误 Invalid parameter:iredirect_uri on keycloak page。我在师父之外创造了自己
类似的问题和答案都没有解决我的问题。 我有两个 Facebook 应用程序。一个是另一个的测试版本,因此它们几乎相同。我在测试中没有问题。但是在实时应用程序上,我收到“redirect_uri 不属于
我确信有一个相对简单的方法可以解决这个问题,但我需要一些帮助。我有一个登陆页面,它接受用户的电子邮件地址并生成一个唯一的 URL,用户可以使用该 URL 来推荐 friend 。我使用 AJAX 绑定
当我尝试通过网络在 Google Plus 中验证我的应用程序时,出现错误: 错误:invalid_requestredirect_uri 的参数值无效:缺少权限:MY_APP:/oauth2call
我通过在开发人员控制台注册我的项目获得了客户端 ID 和 API key 。并且在运行身份验证过程时出现这样的错误400. 这是一个错误。错误:redirect_uri_mismatch请求中的重定向
尝试登录身份服务器(使用 .net core 3 预览版)时,即使请求 uri 和允许的 uri 相同,我也会收到 Invalid redirect_uri 错误。 我还能做错什么? fail: Id
我有 keylcoak 的本地实例,我正在尝试将我的 flutter 应用程序连接到它,为此我正在关注 this tutorial但我被这个 redirect_uri 问题困住了。 在 android
我正在使用 Scribe API 实现 facebook 签名功能,但在提交 facebook 身份验证 url 后出现以下错误。 callback_url = http://localhost:18
我正在学习本教程 http://developers.facebook.com/docs/appsonfacebook/tutorial/特别是在这部分代码 $app_id = "YOUR_APP_
我在两台服务器上使用 facebook 应用程序,dev 和 live。开发服务器托管在 test.testdev.com,实时服务器托管在 test.teSTLive.net。早些时候它在两台服务器
我想在我的 iOS 应用程序中访问一些社交网络,例如 Instagram、Facebook、Twitter。我需要获取用户信息、他们的 friend 等。所有这些社交网络都使用 OAuth 2.0 来
我正在使用 linkedin 身份验证 api 来登录我的网站用户。 首先,我将重定向到以下 url: https://www.linkedin.com/oauth/v2/authorization?
我正在尝试将 Instagram 集成到 Android 应用程序中,并希望使用自定义架构,例如 - sociallogin://authorize 有没有办法在 Instagram 开发者门户中使用
我不断从 windows live 收到这个错误 The provided value for the input parameter 'redirect_uri' is not valid. The
目前我正尝试在我的网络应用程序上连接 paypal oauth 登录。但是我收到了这个错误 客户端代码 paypal.use(["login"], function (login) {
我正在尝试基于documentation使用React和Node开发一个应用程序: 我一步一步地按照本教程进行操作,但是我被困在使用此URL格式测试应用程序中: 我更换了ngrok地址和shopify
我如何编辑 redirect_uri在我的 SoundCloud 应用程序仪表板中?我去http://soundcloud.com/you/apps但没有找到编辑按钮。 最佳答案 目前无法进行编辑,因
我正在尝试让用户从我的 Flutter 应用登录到 Google API,但无法让它自动获取 token 。我最接近的是在授权屏幕中看到 token 字符串,并被要求将其复制/粘贴回应用程序。我怀疑它
我是一名优秀的程序员,十分优秀!