Ist "Authorized redirect URI" obligatorisch, wenn Sie eine neue clientId unter der Google Developers Console einrichten?

9

Der autorisierte Weiterleitungs-URI wird von Google verwendet, um einen Rückruf durchzuführen, um das Autorisierungstoken zu übergeben.

Es wird auch für die Validierung von Google verwendet. Wenn Google also die oauth-Anfrage empfängt, prüft Google, ob die in der Anfrage angegebene Callback-URL dieselbe ist wie "Authorized redirect URI" und wenn nicht, wird ein Fehler ausgegeben.

Meine Anforderung besteht darin, zu verhindern, dass Google diese Validierung durchführt, da ich verschiedene Callback-URLs zur Laufzeit weitergeben möchte. Ich habe versucht, die "authorized redirect URI" als leer zu geben, aber das funktioniert nicht. Irgendwelche Vorschläge?

    
Zenil 20.08.2014, 08:56
quelle

2 Antworten

3

Ja, in Google OAuth 2.0 können Sie zwar keine URLs in REDIRECT URIS festlegen, es ergibt jedoch keinen Sinn. Redirect-URI ist in der Client-Registrierung und OAuth-Flows erforderlich (Autorisierungscode-Flow und impliziter Flow). Das Fehlen einer Umleitungs-URI-Registrierungsanforderung kann einem Angreifer ermöglichen, den Autorisierungsendpunkt als einen offenen Redirector .

Sie haben erwähnt, dass LinkedIn open redirectURI aktiviert hat. Dies ist in der Sicherheit nicht akzeptabel. Und ich habe festgestellt, dass LinkedIn dieses Problem behoben hat.

  

Um die LinkedIn-Plattform noch sicherer zu machen und damit den Sicherheitsanforderungen von OAuth 2 zu entsprechen, bitten wir diejenigen unter Ihnen, die OAuth 2 verwenden, die Weiterleitungs-URLs Ihrer Anwendung bis zum 11. April 2014 bei uns zu registrieren .

Hier ist die Ankündigung von LinkedIn.

    
Owen Cao 22.08.2014, 05:35
quelle
1

Nein, Autorisierter Weiterleitungs-URI ist NICHT obligatorisch.

Siehe beispielsweise Ссылка

Das Beispiel Quickstart zeigt sogar, wie Sie verschiedene Callback-URLs verwenden können

    
Ian 28.11.2014 05:59
quelle