的OAuth2.0 REDIRECT_URI，oauth1.0 oauth_callback保護

Question

我處理谷歌的API（OAuth2.0的）和Dropbox API（oauth1.0），

只是想知道我怎麼能保護REDIRECT_URI只能通過調用谷歌服務器 和 oauth_callback由Dropbox服務器只。

我檢查他們的IP嗎？由於url始終是公開的，如果沒有任何保護，可能會有人發現uri並在沒有任何來自服務器的通知的情況下進行攻擊。

有沒有我錯過的指導方針？

[編輯] 我錯了是REDIRECT_URI和oauth_callback實際上是由客戶端調用，而不是auth服務器。所以我應該檢查最終用戶的ip，以確保它們是請求令牌的同一個用戶。

Answer 1

我不認爲你通過檢查IP來防止任何攻擊。普通用戶不會公開他們的代幣，所以你不應該得到你獲得的代幣的虛假祕密。如果攻擊者控制你的用戶計算機並獲得令牌，他們也可以使用計算機向你的redirect_uri發出請求，所以IP檢查將通過。

另一方面，您應該確保您使用https作爲OAuth流程，因此令牌不受網絡嗅探的影響。