oauth2.0 redirect_uri, oauth1.0 oauth_callback 保护

【问题标题】:oauth2.0 redirect_uri, oauth1.0 oauth_callback protectionoauth2.0 redirect_uri, oauth1.0 oauth_callback 保护
【发布时间】:2012-10-11 19:55:39
【问题描述】:

我正在处理 Google api(oauth2.0) 和 DropBox api (oauth1.0),

只是想知道如何保护只能由谷歌服务器调用的 redirect_uri 和 oauth_callback 仅限 Dropbox 服务器。

我检查他们的 ip 吗?由于 url 始终是公开的,如果没有对其进行保护,可能会有人发现 uri 并在服务器没有任何通知的情况下进行攻击。

有没有我遗漏的指导方针?

[编辑] 我错了,redirect_uri 和 oauth_callback 实际上是由客户端调用的,而不是身份验证服务器。所以我应该检查最终用户的 ip 以确保他们是同一个请求令牌的人。

【问题讨论】:

    标签: oauth google-api oauth-2.0 dropbox dropbox-api


    【解决方案1】:

    我不认为您通过检查 IP 来防止任何攻击。普通用户不会透露他们的代币,所以你不应该得到你获得的代币的虚假秘密。如果攻击者控制了您用户的计算机并获得了令牌,他们也可以使用该计算机向您的redirect_uri发出请求,因此IP检查将通过。

    另一方面,您应该确保将 https 用于 OAuth 流,以保护令牌免受网络嗅探。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2021-08-08
      • 2021-02-19
      • 2012-06-28
      • 2020-05-30
      • 2017-08-29
      • 2020-04-24
      • 1970-01-01
      • 2022-08-05
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode