OAuth2.0에의 redirect_uri로, oauth1.0의에 oauth_callback 보호

Question

내가 구글 API (OAuth2.0에) 및 보관 용 API (oauth1.0)을 처리하고,

그냥이 redirect_uri로를 보호 할 수있는 방법에 의해서만 호출 할 수 있습니다 궁금 Google 서버 및 보관소 서버별로 oauth_callback.

해당 IP를 검사합니까? URL은 항상 공개되어 있으므로 보호 기능이 없으면 서버에서 아무런 통보없이 누군가가 URI를 찾아 공격 할 수 있습니다.

제가 놓친 지침이 있습니까?

[편집] redirect_uri와 oauth_callback이 인증 서버가 아닌 클라이언트에 의해 실제로 불려졌다. 따라서 최종 사용자의 IP가 토큰을 요청하는 것과 동일한 지 확인해야합니다.

Answer 1

IP를 검사하여 공격을 막지 못하고 있다고 생각합니다. 일반 사용자는 자신의 토큰을 공개하지 않으므로 획득 한 토큰에 대해 가짜 비밀을 가져서는 안됩니다. 공격자가 사용자의 컴퓨터를 제어하고 토큰을 얻으면 컴퓨터를 사용하여 redirect_uri에 요청하여 IP 검사를 진행할 수 있습니다.

한편, OAuth 플로우에는 https을 사용해야합니다. 따라서 토큰은 네트워크 스니핑으로부터 보호됩니다.