授权回调地址
授权回调地址
为确保验证授权过程的安全,开发者必须在开发者中心预先注册应用所在的域名或URL,用以OAuth2.0检验授权请求中的“redirect_uri”参数。以便保证OAuth2.0在回调过程中,会回调到安全域名。
- 请进入如下页面对授权回调地址进行配置:进入开发者中心应用管理页,在左侧导航选择“其他API”,点击“安全设置”。

- Authorization Code授权流程
- Web应用
- 有Web Server支持的非Web应用(例如:有Web Server支持的手机客户端、桌面客户端应用) 。
如果开发者在管理控制台的安全设置中填写了授权回调地址(最多支持十个授权回调地址),则redirect uri必须与在预留授权回调页地址中的某一项匹配。如果填写了根域名绑定,则平台先校验redirect uri中的根域名是否在根域名列表中。如果不在,则平台继续校验redirect uri 和应用站点地址二者的根域名是否相同。
- Implicit Grant授权流程
- 桌面客户端应用
- 手机客户端应用
- 基于浏览器脚本语言的应用(JavaScript、Flash、ActionScript)
平台提供了一种默认的redirect uri参数为 "oob",回调后会返回一个平台提供默认回调地址(http://openapi.baidu.com/oauth/2.0/login_success ),例如:
http://openapi.baidu.com/oauth/2.0/login_success#expires_in=86400&access_token=1.79b233866fb427d6bb7f0651947b5591.86400.1311151425.3238112329-131640&session_secret=1c07e054952628711b61228f44f46332&session_key=9XMZMoWRoE6Or%2BHLlFGhB1%2FBH2l3Jzi2CLOxIVVbcAMnUT8tyKeNiyF6oPQESDa9UTcD0uYuYtULwe3LbqKNvc90wOkY&scope=basic
对于Implicit Grant授权流程,如果开发者需要使用"oob"之外的redirect_uri,则必须在管理控制台的安全设置中填写了授权回调地址(最多支持十个授权回调地址)。
授权回调地址对自定义Scheme的支持
- IOS、Android等智能手机操作系统支持通过自定义类型的URL Scheme启动特定的应用程序。当用户在浏览器中访问你的自定义URL Scheme链接的时候,操作系统就会打开你的应用程序,响应这个请求。redirect uri支持ftp、ftps、 javascript、file以外的Scheme。开发者可以将redirect uri设置为移动应用对应的Scheme,以实现在移动端利用Authorization Code方式和Implicit Grant方式进行认证授权。
- 关于移动端如何利用自定义Scheme启动应用,请参考IOS、Android等智能手机操作系统的开发指南。
我要提问题