OAuth
OAuth grants
Authorization code grant / Concesión de código de autorización
Implicit grant / Concesión implícita
Resource owner credentials grant / Concesión de credenciales de propietario de recursos
Client credentials grant / Concesión de credenciales de cliente
Refresh token grant / Concesión de token de actualización
redirect_uri
Según el tipo de concesión, se envía un código o token a través del navegador de la víctima al /callback especificado en el parámetro redirect_uri de la solicitud de autorización. Si el servicio OAuth no valida este URI correctamente, un atacante puede construir un ataque similar a CSRF o engañar a la víctima (phishing) para que inicie un flujo OAuth que enviará el código o token a un sitio controlado por el atacante.
Última actualización