我正在开发一个基于 oauth2 提供程序rfc6749 https://www.rfc-editor.org/rfc/rfc6749我想知道为什么需要redirect_uri访问令牌请求 https://www.rfc-editor.org/rfc/rfc6749#section-4.1.3? /token 端点没有重定向,并且状态假定已经经过验证(即针对 CSRF),因此重定向URI 的副本对我来说没有多大意义。
在身份验证代码流中,它用于验证第一个身份验证请求中的redirect_uri。https://www.oauth.com/oauth2-servers/redirect-uris/redirect-uri-validation/ https://www.oauth.com/oauth2-servers/redirect-uris/redirect-uri-validation/
授予访问令牌
令牌端点将收到交换授权的请求
访问令牌的代码。该请求将包含一个重定向 URL,如下所示
以及授权码。作为一项额外的安全措施,
服务器应验证此请求中的重定向 URL 是否匹配
与初始中包含的重定向 URL 完全相同
对此授权码的授权请求。如果重定向 URL
不匹配,服务器会拒绝该请求并出现错误。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)