我正在开发一个应用程序,该应用程序加载在其他网页的iframe中。当用户启动应用程序时,我收到了对我的应用程序的请求,如下所示:
www.mypage.com/?用户=1234
然后我的应用程序将用户重定向到
https://login.host.com/oauth2?response=code&client_id=my_app_id&scope=&redirect_url=www.mypage.com/?索引/加载应用
给定的用户id用于检查DB中是否已经有令牌,如果没有,则使用接收到的代码来接收新的访问令牌。
问题如下:如何防止来自www.host.com I-frame的呼叫?firebug控制台中可以看到请求"www.mypage.com/?user=1234",因此,如果有人在浏览器中手动输入该url,他可以为随机用户启动应用程序。更重要的是,如果在数据库中发现这样的令牌,人们会看到这个随机的用户数据!
我对所有请求使用请求签名。但我不知道该如何处理第一个请求(www.mypage.com/?user=1234)。
在这种情况下,最佳做法是什么?
谢谢!
您的问题本质上是,您的站点没有对第一个请求使用任何身份验证!您需要为另一个网页制定一些方案来对请求进行签名,并在执行重定向之前验证该签名。
(此外,请确保重定向到的URL也执行适当的身份验证…)