redirect - OAuth2.0 安全性如何在移动应用程序中发挥作用？如果 client_id 被泄露会发生什么？

Question

Web 应用程序中的 OAuth 2.0 使用重定向 URI 工作，其中身份验证提供程序重定向到重定向 URI 并验证与开发人员在应用程序注册期间提供的注册相同，然后再使用访问 token 进行重定向。

如果是移动应用程序，由于没有指向移动应用程序的重定向 URI，它是如何工作的？

如果有人获得客户端 ID，他们可以使用相同的方式构建重复的应用程序吗？在上述情况下，安全性如何工作？

Answer 1

因为移动应用程序无法保证client_secret 的 secret 性。他们可以使用不需要的授权类型。这是 Implicit Grant .这个想法是使用 response_type=token 将移动浏览器重定向到授权端点。范围:

https://example.com/authorize?response_type=token&client_id=CLIENT_ID&redirect_uri=http://REDIRECT_URI

根据身份提供者对用户进行身份验证后，浏览器将被重定向回 redirect_uri在授权请求中指定并传递访问 token :

http://REDIRECT_URI/#token=ACCESS_TOKEN

然后，您可以在浏览器中拦截对这个特制 url 的请求(通过订阅在 url 更改时触发的相应事件)，提取传递的访问 token 并使用此 token 发出经过身份验证的请求。

If someone gets client id, Can they use same to build duplicate app ?How does security works in above scenario?

OAuth 2 并非旨在保护您的应用程序的知识产权。它是一种身份验证协议(protocol)。无论有没有它，任何人都可以复制您的应用程序。这个想法是，如果没有 client_secret应用程序不能使用需要它的授权类型，并且通常会为颁发的访问 token 提供更多权限和范围。