Der autorisierte Weiterleitungs-URI wird von Google verwendet, um einen Rückruf durchzuführen, um das Autorisierungstoken zu übergeben.
Es wird auch für die Validierung von Google verwendet. Wenn Google also die oauth-Anfrage empfängt, prüft Google, ob die in der Anfrage angegebene Callback-URL dieselbe ist wie "Authorized redirect URI" und wenn nicht, wird ein Fehler ausgegeben.
Meine Anforderung besteht darin, zu verhindern, dass Google diese Validierung durchführt, da ich verschiedene Callback-URLs zur Laufzeit weitergeben möchte. Ich habe versucht, die "authorized redirect URI" als leer zu geben, aber das funktioniert nicht. Irgendwelche Vorschläge?
Ja, in Google OAuth 2.0 können Sie zwar keine URLs in REDIRECT URIS festlegen, es ergibt jedoch keinen Sinn. Redirect-URI ist in der Client-Registrierung und OAuth-Flows erforderlich (Autorisierungscode-Flow und impliziter Flow).
Das Fehlen einer Umleitungs-URI-Registrierungsanforderung kann einem Angreifer ermöglichen, den Autorisierungsendpunkt als einen offenen Redirector . Sie haben erwähnt, dass LinkedIn open redirectURI aktiviert hat. Dies ist in der Sicherheit nicht akzeptabel. Und ich habe festgestellt, dass LinkedIn dieses Problem behoben hat. Um die LinkedIn-Plattform noch sicherer zu machen und damit den Sicherheitsanforderungen von OAuth 2 zu entsprechen, bitten wir diejenigen unter Ihnen, die OAuth 2 verwenden, die Weiterleitungs-URLs Ihrer Anwendung bis zum 11. April 2014 bei uns zu registrieren . Hier ist die Ankündigung von LinkedIn.
Nein, Autorisierter Weiterleitungs-URI ist NICHT obligatorisch.
Siehe beispielsweise Ссылка
Das Beispiel Quickstart zeigt sogar, wie Sie verschiedene Callback-URLs verwenden können
Tags und Links google-api google-oauth google-oauth-java-client