授权回调地址

授权回调地址

为确保验证授权过程的安全，开发者必须在开发者中心预先注册应用所在的域名或URL，用以OAuth2.0检验授权请求中的“redirect_uri”参数。以便保证OAuth2.0在回调过程中，会回调到安全域名。

请进入如下页面对授权回调地址进行配置：进入开发者中心应用管理页，在左侧导航选择“其他API”，点击“安全设置”。

• Authorization Code授权流程
  • Web应用
  • 有Web Server支持的非Web应用（例如：有Web Server支持的手机客户端、桌面客户端应用） 。

如果开发者在管理控制台的安全设置中填写了授权回调地址(最多支持十个授权回调地址)，则redirect uri必须与在预留授权回调页地址中的某一项匹配。如果填写了根域名绑定，则平台先校验redirect uri中的根域名是否在根域名列表中。如果不在，则平台继续校验redirect uri 和应用站点地址二者的根域名是否相同。

• Implicit Grant授权流程
  • 桌面客户端应用
  • 手机客户端应用
  • 基于浏览器脚本语言的应用（JavaScript、Flash、ActionScript）

平台提供了一种默认的redirect uri参数为 "oob"，回调后会返回一个平台提供默认回调地址(http://openapi.baidu.com/oauth/2.0/login_success )，例如：

http://openapi.baidu.com/oauth/2.0/login_success#expires_in=86400&access_token=1.79b233866fb427d6bb7f0651947b5591.86400.1311151425.3238112329-131640&session_secret=1c07e054952628711b61228f44f46332&session_key=9XMZMoWRoE6Or%2BHLlFGhB1%2FBH2l3Jzi2CLOxIVVbcAMnUT8tyKeNiyF6oPQESDa9UTcD0uYuYtULwe3LbqKNvc90wOkY&scope=basic

对于Implicit Grant授权流程，如果开发者需要使用"oob"之外的redirect_uri，则必须在管理控制台的安全设置中填写了授权回调地址(最多支持十个授权回调地址)。

授权回调地址对自定义Scheme的支持

• IOS、Android等智能手机操作系统支持通过自定义类型的URL Scheme启动特定的应用程序。当用户在浏览器中访问你的自定义URL Scheme链接的时候，操作系统就会打开你的应用程序，响应这个请求。redirect uri支持ftp、ftps、 javascript、file以外的Scheme。开发者可以将redirect uri设置为移动应用对应的Scheme，以实现在移动端利用Authorization Code方式和Implicit Grant方式进行认证授权。
• 关于移动端如何利用自定义Scheme启动应用，请参考IOS、Android等智能手机操作系统的开发指南。