在OAuth IETF RFC的第8.3节中:;环回重定向注意事项";声明:
"环回接口重定向URI使用http方案(即,不使用TLS(。这对于环回接口重定向URI是可以接受的,因为HTTP请求永远不会离开设备">
为什么https对这里的安全性没有必要?我意识到使用PKCE可以减轻URI拦截的一些问题,但我不确定我是否完全理解客户端是如何在环回接口上接收重定向的。
https://www.rfc-editor.org/rfc/rfc8252#section-8.3
如果您自己机器上的流量可以被拦截,基本上就是"全部丢失"。这是两个过程的通信,任何有权阅读的东西都可以做更多的事情。
PKCE缓解措施的存在主要是因为在现代手机操作系统上,应用程序可以通过特定的方案有效地"接管"某些uri,而与DNS不同的是,在DNS中有一个非常好的所有权系统,移动操作系统供应商通过引入新的非托管命名空间创建了一个漏洞。
因此,如果我的重定向从my-app://开始,那么没有什么可以阻止另一个应用程序也注册该模式并使用oauth2授权代码启动。
如果这让你认为像苹果这样的公司在这里搞砸了,你肯定是对的。