In questo post: link
Enter your full callback URL(s) in this field. This means you should be providing the entire path, such as https://mysite.com/oauth/callback. Do not use wildcards, and do not use only the domain.
Il post dice che i caratteri jolly non sono sicuri.
Successivamente, il post offre un esempio che mostra solo una vulnerabilità di un URL di callback arbitrario .
Mi chiedo perché un callback come https://*.mysite.com/oauth/callback
non sia sicuro. Sembra che nessuno dei provider OAuth lo supporti (ad esempio Google e Facebook).
Grazie.