Quando gestisci un Server di autorizzazione OAuth2 :
The authorization server MUST require the following clients to register their redirection endpoint:
o Public clients.
o Confidential clients utilizing the implicit grant type.
The authorization server SHOULD require all clients to register their redirection endpoint prior to utilizing the authorization endpoint.
...
Lack of a redirection URI registration requirement can enable an attacker to use the authorization endpoint as an open redirector as described in Section 10.15.
C'è un ulteriore vantaggio in termini di sicurezza nell'imposizione di un vincolo di unicità su redirect_uri
s registrati? Cioè, ogni dato redirect_uri potrebbe essere associato al massimo a un particolare client?
Penso in particolare al caso dei client pubblici, dove redirect_uri è l'unico mezzo con cui il server di autorizzazione deve identificare il client (poiché il client non è in grado di proteggere le credenziali del cliente), ma sono anche interessato a risposte private clienti.
Sono state rilevate vulnerabilità se un utente malintenzionato poteva registrare un nuovo client con lo stesso redirect_uri di un client esistente?