Zum Hauptinhalt springen

2.4. Management of Client Redirect URIs (Client-Redirect-URIs)

2.4. Management of Client Redirect URIs (Client-Redirect-URIs)

OAuth 2.0 [RFC6749] erlaubt in manchen Fällen nicht registrierte redirect_uri-Werte oder eigene Matching-Semantik des Servers. Das OAuth-Sicherheits-BCP [OAUTH-SECURITY-TOPICS] und OAuth 2.1 [OAUTH-V2] verlangen jedoch exakte Übereinstimmung von redirect_uri mit den für den Client festgelegten URIs. Das ermöglicht frühe Erkennung von Missbrauch und verhindert Token-Lecks und Open Redirects. Nachteil: Client-Verwaltung kann aufwendiger sein, da die Redirect-URI oft der volatilste Teil der Client-Richtlinie ist.

Die Exakt-Match-Anforderung KANN mit PAR für Clients mit etablierten Authentifizierungsdaten gelockert werden. Anders als bei klassischen Autorisierungsanfragen authentifiziert der Server den Client vor Beginn des Autorisierungsflows. Der Autorisierungsserver KANN solchen Clients erlauben, nicht vorab registrierte redirect_uri anzugeben — mehr Flexibilität und einfachere Verwaltung. Einschränkungen liegen beim Server; er KANN z. B. ein URI-Präfix verlangen oder nur eine Abweichung in Abfrageparametern zur Laufzeit zulassen.

Hinweis: Transaktionsspezifische Redirect-URIs sind auch nützlich, wenn Client-ID, Zugangsdaten und Richtlinien von einer Vertrauensstelle verwaltet werden (z. B. Client-Zertifikate). Ein solcher externer Client kann mit einem Server interagieren, der dieser Stelle vertraut, ohne zusätzliche Registrierung.

Letztes Update am