【发布时间】:2014-09-10 17:49:00
【问题描述】:
我正在开发一个在其他网页的 iframe 中加载的应用程序。当用户启动应用程序时,我收到了对我的应用程序的请求,如下所示:
www.mypage.com/?user=1234
然后我的应用将用户重定向到
https://login.host.com/oauth2?response=code&client_id=my_app_id&scope=& redirect_url=www.mypage.com/?index/loadApp
给定的用户 ID 用于检查 DB 中是否已有令牌,如果没有 - 接收到的代码用于接收新的访问令牌。
问题如下: 如何防止来自 www.host.com 上 i-frame 的呼叫?请求“www.mypage.com/?user=1234”可以在firebug控制台中看到,所以,如果有人在浏览器中手动输入这个url,他可以为随机用户启动应用程序。更重要的是,如果在数据库中找到这样的令牌,人们就会看到这个随机的用户数据!
我对所有请求都使用请求签名。但我不知道如何处理第一个请求 (www.mypage.com/?user=1234)。
在这种情况下,最佳做法是什么?
谢谢!
【问题讨论】: