Open1
OAuthの認可エンドポイントのリダイレクトURL、モバイルアプリの場合どうすればいい?
ふじしろRFC8252: OAuth 2.0 for Native Apps
- リダイレクトURLにhttpsスキームを使う場合(Claimed Https Scheme URI Redirection)
- リダイレクトURIにカスタムスキームを使う場合(Oruvate-Use URI Scheme Redirection)
- 認可コード横取り攻撃の標的になるので、PKCE(RFC 7636 :Proof Key for Code Exchange by OAuth Public Clients)に準拠する必要がある
モバイルアプリの例:リダイレクトURL不要説
しかしiOSアプリはWebアプリではないため、リダイレクトされるサイトはありません。iOSアプリ側はOAuthサーバーからのリダイレクト要求をキャンセルし、認可コードだけを取得するようにします。そのため、この連携アプリ登録時に入力するリダイレクトURLはダミーでも構いません。
OAuth PKCEについて