OAuth 2.0规范要求在获取access token时验证redirect_uri,以防止授权码被拦截导致的安全风险。redirect_uri是接收authorization code的关键,一旦被篡改,攻击者可能利用code冒充合法用户。验证机制在code被泄露后提供补救,确保redirect_uri与之前记录的一致,保护用户免受session劫持。不同服务商对redirect_uri的管理方式各异,有的仅接受注册时填写的地址,有的允许特定子目录。
耗子写了篇关于 oauth 的文章,其中第二个bug没有看懂。翻了原文又翻了规范,后来才想通。
原文是 Bug 2. Lack of redirect_uri validation on get-token endpoint 换token(指的是access token)的时候缺少重定向地址的校验。
最低0.47元/天 解锁文章
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
