Ja, in Google OAuth 2.0 können Sie zwar keine URLs in REDIRECT URIS festlegen, es ergibt jedoch keinen Sinn. Redirect-URI ist in der Client-Registrierung und OAuth-Flows erforderlich (Autorisierungscode-Flow und impliziter Flow).
Das Fehlen einer Umleitungs-URI-Registrierungsanforderung kann einem Angreifer ermöglichen, den Autorisierungsendpunkt als einen offenen Redirector . Sie haben erwähnt, dass LinkedIn open redirectURI aktiviert hat. Dies ist in der Sicherheit nicht akzeptabel. Und ich habe festgestellt, dass LinkedIn dieses Problem behoben hat. Um die LinkedIn-Plattform noch sicherer zu machen und damit den Sicherheitsanforderungen von OAuth 2 zu entsprechen, bitten wir diejenigen unter Ihnen, die OAuth 2 verwenden, die Weiterleitungs-URLs Ihrer Anwendung bis zum 11. April 2014 bei uns zu registrieren . Hier ist die Ankündigung von LinkedIn.
Nein, Autorisierter Weiterleitungs-URI ist NICHT obligatorisch.
Siehe beispielsweise Ссылка
Das Beispiel Quickstart zeigt sogar, wie Sie verschiedene Callback-URLs verwenden können
Der autorisierte Weiterleitungs-URI wird von Google verwendet, um einen Rückruf durchzuführen, um das Autorisierungstoken zu übergeben.
Es wird auch für die Validierung von Google verwendet. Wenn Google also die oauth-Anfrage empfängt, prüft Google, ob die in der Anfrage angegebene Callback-URL dieselbe ist wie "Authorized redirect URI" und wenn nicht, wird ein Fehler ausgegeben.
Meine Anforderung besteht darin, zu verhindern, dass Google diese Validierung durchführt, da ich verschiedene Callback-URLs zur Laufzeit weitergeben möchte. Ich habe versucht, die "authorized redirect URI" als leer zu geben, aber das funktioniert nicht. Irgendwelche Vorschläge?