Я выполняю потоки oAuth2 на стороне сервера.OAuth2: redirect_uri post LinkedIn & Facebook
я заметил, что Google добавил прохладную особенность их oauth2 API, которые зарегистрировались является redirect_uri=postmessage
поэтому мы не показываем реальную redirect_uri на панели браузера URL-адрес и authorization code
не будут включены в URL переадресации.
Для LinkedIn, когда пользователи соглашается делиться своими личными данными с приложением, URL-адрес ответа выглядит следующим образом:
http://dev.localhost.com:8080/auth/linkedin?code=xxxxxxxxxxx&state=yyyyyyyyyyyyy
это то же самое для Google
, если не заменить реальный redirect_uri
на postmessage
.
Если redirect_uri + код ответа задан в URL-адресе Каждый вредоносный скрипт может получить возвращаемый code
с URL-адреса и выполнить его собственные проверки подлинности.
Итак, есть ли способ скрыть возвращаемые параметры и redirect_uri для LinkedIn и Facebook?
_ «Каждый вредоносный скрипт сможет извлекать возвращаемый код из URL-адреса и выполнять свои собственные проверки подлинности» _ - нет, они не могут, потому что для обмена «кодом» для токена доступа требуется секретное приложение. (И если у вас есть сторонние скрипты, тогда у вас больше проблем.) – CBroe
Я понимаю. Это проясняет все, спасибо. – Copernic