我在我的应用程序中使用AppAuth-Android来处理OAuth流。当流开始时,我调用startActivityForResults
方法,如 https://github.com/openid/AppAuth-Android#obtaining-an-authorization-code 步骤中所述。调用此方法后,浏览器会弹出等待用户登录。
在我的清单中,我有
<intent-filter>
<action android:name="android.intent.action.VIEW" />
<category android:name="android.intent.category.DEFAULT" />
<category android:name="android.intent.category.BROWSABLE" />
<data
android:scheme="com.app.name"
android:host="oauth2redirect/login-callback" />
</intent-filter>
这是在完成登录步骤时处理重定向回调所必需的,如 AppAuth 文档中指定的那样。
在我的应用程序上进行渗透测试期间,发现如果在此特定时刻(当身份验证浏览器可见时(,请按照以下步骤操作,应用程序崩溃
- 切换应用程序(例如,我打开浏览器,而不是关闭我的应用程序(
- 在我的情况下,单击一个非分层链接,com.name.app:abcd(此URL由测试人员现成(
这是崩溃的堆栈跟踪。
E/AndroidRuntime: FATAL EXCEPTION: main
Process: io.app.mobile, PID: 29226
java.lang.RuntimeException: Unable to resume activity {com.app.name/net.openid.appauth.AuthorizationManagementActivity}: java.lang.UnsupportedOperationException: This isn't a hierarchical URI.
at android.app.ActivityThread.performResumeActivity(ActivityThread.java:3830)
at android.app.ActivityThread.handleResumeActivity(ActivityThread.java:3862)
at android.app.servertransaction.ResumeActivityItem.execute(ResumeActivityItem.java:51)
at android.app.servertransaction.TransactionExecutor.executeLifecycleState(TransactionExecutor.java:145)
at android.app.servertransaction.TransactionExecutor.execute(TransactionExecutor.java:70)
at android.app.ActivityThread$H.handleMessage(ActivityThread.java:1816)
at android.os.Handler.dispatchMessage(Handler.java:106)
at android.os.Looper.loop(Looper.java:193)
at android.app.ActivityThread.main(ActivityThread.java:6854)
at java.lang.reflect.Method.invoke(Native Method)
at com.android.internal.os.RuntimeInit$MethodAndArgsCaller.run(RuntimeInit.java:493)
at com.android.internal.os.ZygoteInit.main(ZygoteInit.java:860)
Caused by: java.lang.UnsupportedOperationException: This isn't a hierarchical URI.
at android.net.Uri.getQueryParameterNames(Uri.java:1590)
at net.openid.appauth.AuthorizationManagementActivity.extractResponseData(AuthorizationManagementActivity.java:318)
at net.openid.appauth.AuthorizationManagementActivity.handleAuthorizationComplete(AuthorizationManagementActivity.java:259)
at net.openid.appauth.AuthorizationManagementActivity.onResume(AuthorizationManagementActivity.java:234)
at android.app.Instrumentation.callActivityOnResume(Instrumentation.java:1413)
at android.app.Activity.performResume(Activity.java:7307)
at android.app.ActivityThread.performResumeActivity(ActivityThread.java:3822)
问题似乎是打开com.name.app:abcd会使应用程序相信有意图的结果,net.openid.appauth.AuthorizationManagementActivity
尝试处理它
private Intent extractResponseData(Uri responseUri) {
if (responseUri.getQueryParameterNames().contains(AuthorizationException.PARAM_ERROR)) {
return AuthorizationException.fromOAuthRedirect(responseUri).toIntent();
}
(...)
}
但是,如果 URL 不是分层的,则类java.net.URI
的getQueryParameterNames
会引发异常。
我不确定这是否与库本身有关,或者是否有可以完成的解决方案(也许更改清单深度链接处理(。事实是我不知道如何解决这个问题。
如果问题看起来过于综合,并且您需要一些其他信息来重现问题,请随时询问更多详细信息。谢谢:)
我假设您发布的intent-filter
是为RedirectUriReceiverActivity
设置的,但您实际上可以拥有自己的Activity
而不是成为中间人。 如果你查看源代码,它基本上只做
startActivity(AuthorizationManagementActivity.createResponseHandlingIntent(
this, getIntent().getData()));
- 创建您自己的活动,例如
AllUriReceiverActivity
- 为此
AllUriReceiverActivity
设置意图过滤器(您在上面发布( onCreate()
添加AllUriReceiverActivity
检查getIntent().getData()
是否包含 执行调用之前的分层 URIstartActivity()
。重用库的
RedirectUriReceiverActivity
,所以你不必担心库更新时实例化AuthorizationManagementActivity
所以在onCreate()
中应该是这样的:
Uri uri = getIntent().getData();
if (uri.isHierarchical()) {
Intent i = new Intent(context, RedirectUriReceiverActivity.class);
i.setData(uri);
startActivity(i);
}
finish();
编辑:此外,为了摆脱通过RedirectUriReceiverActivity
处理URI,您可以完全删除AppAuth库建议的这一部分:
android.defaultConfig.manifestPlaceholders = [
'appAuthRedirectScheme': '...'
]