0
我處理谷歌的API(OAuth2.0的)和Dropbox API(oauth1.0),的OAuth2.0 REDIRECT_URI,oauth1.0 oauth_callback保護
只是想知道我怎麼能保護REDIRECT_URI只能通過調用谷歌服務器 和 oauth_callback由Dropbox服務器只。
我檢查他們的IP嗎?由於url始終是公開的,如果沒有任何保護,可能會有人發現uri並在沒有任何來自服務器的通知的情況下進行攻擊。
有沒有我錯過的指導方針?
[編輯] 我錯了是REDIRECT_URI和oauth_callback實際上是由客戶端調用,而不是auth服務器。所以我應該檢查最終用戶的ip,以確保它們是請求令牌的同一個用戶。