gpt4 book ai didi

google-api - 在 google 开发者控制台下设置新的 clientId 时是否必须使用 "Authorized redirect URI"?

转载 作者:行者123 更新时间:2023-12-04 04:25:31 28 4
gpt4 key购买 nike

google 使用授权的重定向 URI 进行回调以传递授权 token 。

它也被谷歌用于验证。因此,当收到实际的 oauth 请求时,谷歌会检查请求中给出的回调 url 是否与“授权重定向 URI”相同,如果不是,则抛出错误。

我的要求是防止 google 进行此验证,因为我希望能够在运行时传递不同的回调 url。我尝试将“授权重定向 URI”设为空,但这不起作用。有什么建议 ?

最佳答案

是的,在 Google OAuth 2.0 中,虽然可以在 REDIRECT URIS 中不设置 uri,但没有任何意义。客户端注册和oauth流程(授权码流程和隐式流程)需要重定向uri。
缺少重定向 URI 注册要求可能使攻击者能够使用授权端点作为 an open redirector .

您提到 LinkedIn 启用了 open redirectURI。这在安全方面是 Not Acceptable 。我注意到 LinkedIn 已经解决了这个问题。

In order to make the LinkedIn platform even more secure, and so we can comply with the security specifications of OAuth 2, we are asking those of you who use OAuth 2 to register your application's redirect URLs with us by April 11, 2014.



这是 LinkedIn's announcement.

关于google-api - 在 google 开发者控制台下设置新的 clientId 时是否必须使用 "Authorized redirect URI"?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/25400593/

28 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com