-1
我正在研究在其他网页内加载iframe的应用程序。当用户启动应用程序我请求我的应用程序像这样的:在iframe中加载的应用程序的安全问题
www.mypage.com/?user=1234
然后我的应用重定向用户
https://login.host.com/oauth2?response=code&client_id=my_app_id&scope= & REDIRECT_URL = www.mypage .com /?index/loadApp
鉴于用户ID用于检查数据库中是否存在令牌,如果不是 - 接收的代码用于接收新的访问令牌。
问题如下: 如何防止不通过www.host.com上的i-frame进行呼叫?请求“www.mypage.com/?user=1234”可以在萤火虫控制台中看到,因此,如果有人在浏览器中手动输入此网址,他可以为随机用户启动应用程序。更重要的是,如果在DB中会发现这样的令牌,人们会看到这个随机的用户数据!
我对所有请求使用请求签名。但我不知道如何处理这个第一个请求(www.mypage.com/?user=1234)。
什么是这种情况下的最佳做法?
谢谢!