oAuth 实施：当前域重要吗？

Posted 2023-02-25

【中文标题】oAuth 实施：当前域重要吗？

【英文标题】：oAuth implementation: Does the current domain matter?

【发布时间】：2012-05-11 06:39:37

【问题描述】：

我是一名前端开发人员，帮助 UX 团队开发浏览器插件的界面。

该插件基于 html/CSS/JS，需要身份验证。目前我们在线路中有标准的 u/p 字段，但客户想知道是否可以进行社交登录。

由于插件的接口被注入到用户访问的每个页面中，这意味着身份验证请求可以来自网络上的任何地方。

我已经阅读了 oAuth 规范的基础知识，但我找不到答案 - oAuth 不要求请求来自一致的位置似乎很奇怪，但我真的不知道我在做什么正在谈论。

从任何随机域发出 oAuth 请求是否可行？

【参考方案1】：

请求来自一致的位置

一个能想出与X的消费者密钥一致的token的人假定为X。有one place求消费者（你的服务）的URL：

oauth_callback： 获得用户授权步骤完成后，服务提供商将用户重定向回的绝对 URL。如果 消费者无法接收回调或回调 URL 已被 通过其他方式建立，参数值必须设置为oob （区分大小写），表示带外配置。

但是重定向发生在客户端。可以为 每个 请求设置此 URL。您甚至不需要浏览器请求：查看 'out of band' (OOB) 内容。

该工作流称为双向 OAuth。

Twitter oAuth callbackUrl - localhost development

---

而这个麻烦只是为了验证。获得用户访问令牌后，您可以从任何设备代表他执行操作：智能手机、集群中的节点、开发工作站等。 x