具有静态权限的动态urls是否安全？

Question

来自这位医生

尽管可以使用清单编辑器设置带有通配符的重定向URI，但我们强烈建议您遵守RFC 6749的3.1.2节，并且只使用绝对URI。

现在，他们给出了权威是动态的(https://*.contoso.com)的例子。在我的例子中，只有路径是动态的，比如：https://example.com/users/{id}/profile

在重定向URI (本例：https://example.com/users/*/profile )中使用通配符安全吗？

是否应该因为在重定向URI中使用通配符而需要进行其他安全检查？

Answer 1

这需要您自己的感觉，我可以告诉您，如果您在重定向URI (如https://example.com/users/*/profile )中使用通配符，那么用户可以在授权后重定向到OAuth 2.0授权URI中配置的任何redirect_uri，例如auth码流，它与https://example.com/users/*/profile匹配，例如https://example.com/users/test/profile。

您应该注意，通配符URI只允许在组织的Azure AD租户中只登录工作或学校帐户的应用程序。

​

​