看起来像在Implicit Grant OAuth流中,重定向URI是必需的,它必须是
为什么需要重定向URI?具体来说它会阻止哪些安全攻击?为什么原点只能有javascript来侦听令牌响应而不是从重定向URI接收它?
重定向URI提高安全性的一种方法是需要在OAuth服务器上为客户端应用程序预定义重定向URI。这可以防止客户端应用程序将登录用户重定向到Internet上的任何URI;该应用只能重定向到预先批准的URI。因此,如果有人窃取客户端ID并使用该客户端ID创建新应用,则需要使用相同的重定向URI。