为什么OAuth2不允许在重定向URI中包含片段标识符？

Question

根据OAuth2.0 等级库，重定向URI不应该包含片段标识符。

重定向端点URI必须是RFC3986节4.3定义的绝对URI。端点URI可能包括"application/x-www-form-urlencoded“格式化(参见附录B)查询组件(RFC3986第3.4节)，在添加其他查询参数时必须保留该组件。端点URI不能包括片段组件。

是否有任何具体的理由，为什么规格作出这样的限制？

提前感谢！

Answer 1

URL片段永远不会离开浏览器。它们被前端使用(这意味着如果将散列片段放到浏览器中的URL并访问它，碎片就不会到达服务器端)。

因此，当授权服务器通过用户代理重定向时，片段将只停留在用户代理上。从OAuth的角度来看，这可能会带来不必要的复杂性和安全漏洞。重定向URI验证不足在最佳实践草案中进一步强调了这一点。

Answer 2

我认为反对片段部分的原因是它在隐式流中的使用。由于URL片段部分的语法没有标准化，OAuth2服务器将不知道如何将其信息(access_token等)添加到重定向URL的现有片段值中。