Knowledge Base

OAuth redirect_uri и callback allowlist

Неочевидный риск

Категория: Web App Security · Риск: high

Неочевидный риск

OAuth часто ломается не в криптографии, а в allowlist callback URL. Слишком широкий `redirect_uri` может превратить обычный open redirect или забытый staging-поддомен в проблему аккаунтов и SSO.