3
我有一個使用Google API的網絡應用程序。進行身份驗證的過程需要兩次撥打穀歌電話,第一次撥打code
,第二次撥打code
撥打token
。這兩個調用都採用redirect_uri
參數。第一次調用使用這個參數,因爲我期望,重定向回到redirect_uri
,但是,第二次調用,得到令牌,不重定向,bar驗證它似乎忽略這個參數,所以它有什麼意義?Google get令牌調用的redirect_uri有什麼意義?
因此,基本上它是在第二個電話,以確認它匹配的第一個電話?說實話,我不明白爲什麼攻擊者無法改變這兩個,但謝謝:) –
另外我想你的意思是鏈接到[4.1.3](http://tools.ietf.org/html/rfc6749 #部-4.1.3)。 –
對,我改變了鏈接,謝謝。關於你的問題,攻擊者並不是發送第二個請求,但它是客戶端(意思是你的web應用程序),攻擊者不能發送這樣的請求,因爲它不知道'client_secret'。 –