Question

关于防范 OAuth2.0 漏洞的安全建议如下。

（1）绑定劫持安全建议

OAuth 2.0 提供了 state 参数用于防御 CSRF。认证服务器接收到的 state 参数按原样返回

给 redirect_uri，客户端收到该参数并验证与之前生成的值是否一致。

（2）授权劫持安全建议

用户授权凭证会由服务器转发到 redirect_uri 对应的地址，如果攻击者伪造 redirect_uri 为自己的地址，然后诱导用户发送该请求，之后获取的凭证就会发送给攻击者伪造的回调

地址。攻击者使用该凭证即可登录用户账号，造成授权劫持。正常情况下，为了防止该情

况出现，认证服务器会验证自己的 client_id 与回调地址是否对应。常见的方法是验证回调

地址的主域。