OAuth 授权链接里的回调地址参数丢失

最新推荐文章于 2025-06-07 01:59:42 发布
原创 最新推荐文章于 2025-06-07 01:59:42 发布 · 4.6k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#urlencoder #oauth2.0 #回调地址

本文探讨OAuth授权链接中回调地址参数丢失的问题,特别是在微信授权场景下,参数name在授权后地址中消失的情况。通过使用URLEncoder对回调地址中的query参数进行编码,解决了参数丢失的问题,确保了授权流程的完整性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

OAuth 的授权链接里有一个回调地址的参数:

https://developers.e.qq.com/oauth/authorize?client_id=123456&redirect_uri=https://www.baidu.com?platform=jiaobuchong&name=jack&state=&scope=ADS_MANAGEMENT

这个授权链接里的回调地址参数是:

https://www.baidu.com?platform=jiaobuchong&name=jack

授权后地址变成了:

https://www.baidu.com?platform=jiaobuchong&auth_code=xxxxxxx

缺失了参数 name=jack,解决方法就是对回调地址中的 query 参数 :platform=jiaobuchong&auth_code=xxxxxxx进行 URLEncoder。如:

public class UrlencoderDemo {

    public static void main(String[] args) throws Exception {
        String url = "https://www.baidu.com?platform=jiaobuchong&name=jack";
        System.out.println(getEncodeQueryUrl(url));
        System.out.println(getEncodeQueryUrl("https://www.baidu.com?"));
        System.out.println(getEncodeQueryUrl("https://www.baidu.com"));
        System.out.println(getEncodeQueryUrl("https://www.baidu.com/"));

    }

    public static String getEncodeQueryUrl(String url) throws UnsupportedEncodingException {

        if (StringUtils.isBlank(url)) {
            throw new IllegalArgumentException("url is blank");
        }
        int pos = url.lastIndexOf("?");
        if (pos > -1 && (pos < (url.length() - 1))) {
            return url.substring(0, pos + 1) + URLEncoder.encode(url.substring(pos + 1), "UTF-8");
        }

        return url;
    }
}

输出:

https://www.baidu.com?platform%3Djiaobuchong%26name%3Djack
https://www.baidu.com?
https://www.baidu.com
https://www.baidu.com/

授权链接变成这样就 ok 了:

https://developers.e.qq.com/oauth/authorize?client_id=123456&redirect_uri=https://www.baidu.com?platform%3Djiaobuchong%26name%3Djack&state=&scope=ADS_MANAGEMENT

参考:
微信授权回调时,回调地址中原有参数丢失
微信开发–授权接口url多参数请求问题
网址URL中特殊字符转义编码

微信授权参数丢失问题
u012164021的博客
01-15 4282
微信授权登录流程一、构造授权地址,用户同意授权,获取code二、通过code换取网页授权access_token、openid 一、构造授权地址,用户同意授权,获取code https://open.weixin.qq.com/connect/oauth2/authorize?appid={0}&redirect_uri={1}&response_type=code&sco...
security,Oauth2登录后302重定向Location参数错误,Oauth2授权码模式直接获取access_token
weixin_44530390的博客
08-06 1万+
首先我是通过zuul网关(9001)进行访问登录,auth认证服务器(9002)进行原生框架认证 网上给的常规测试都是通过下面的url http://192.168.2.18:9002/oauth/authorize?client_id=client&response_type=code, 然后会自动跳转到 /login 方法。 输入用户名和密码然后进行登录,在登录过程中会有一个响应头为:Location。如图: 但是当我们直接输入***http://192.168.2.18:9002
开发踩坑笔记1——redirect_uri参数错误解决方法
qq_39142743的博客
04-06 1683
java开发踩坑笔记记录
解决微信OAuth2.0网页授权只能设置一个回调域名的问题
03-27 3687
get-weixin-code.html下载地址   https://github.com/HADB/GetWeixinCode
聊聊OAuth2.0授权协议中浏览器重定向redirect地址的作用
最新发布
欢迎来到《技术探索》,这是一个专注于游戏开发技术的博客。在这里,我们将深入探讨游戏引擎、图形渲染、人工智能、物理模拟等领域的最新技术和最佳实践。无论您是初学者还是经验丰富的开发者,我们都希望为您提供有价值的见解和实用的技巧。
06-07 928
技术定义浏览器重定向(Redirect)就是让你的浏览器自动跳转到另一个网址。用户在A网站点击“用微信/Google登录”,浏览器自动跳到微信/Google的登录页面;登录授权后,微信/Google又把浏览器自动跳回A网站指定的回调地址,并带上授权码等参数。浏览器重定向就是让用户的浏览器自动跳转到另一个页面。在OAuth2.0中,它是用户、第三方网站、授权服务器之间安全传递授权信息的桥梁。生活中就像你被引导去不同窗口办理手续,办理完后再被带回原窗口继续操作。下面我用。
微信授权回调时,回调地址中原有参数丢失
热门推荐
琴韵
07-27 1万+
近日在做登录微服务的时候,需要做微信授权认证.出现各种坑,(有坑才有成长). 之前一直是只带有一个参数, 没有发现任何问题, 今天在测试项目一些功能时,发现授权后的回调地址中,丢失了原有的参数. 授权页时显示回调地址参数2个,当点击确认授权按钮后, 参数剩了一个了.网上没有查到相关问题解决方案,文档上也没有明确记录. 经多方测试,老大指点后.问题终于得到解决.现记录于下.以作错误的经验总结,也
微服务Zuul路由使用Spring Security oauth2校验token使用Authorization Bearer传参数丢失的问题
linzuo7096的博客
04-16 1589
背景 微服务中需要统一接口的入口。使用zuul路由接口时,传入Authorization参数进行认证,但是在业务网关接口获取该参数为null。 原因 Zuul中会将一些相对比较敏感的请求头会进行过滤。 解决方案 zuul默认过滤参数: Authorization、Set-Cookie、Cookie、Host、Connection、Content-Length、Content-Encoding、Se...
oauth2授权码模式遇到的坑,1.走网关无法返回授权2.refresh_token新token丢失用户信息
weixin_43829936的博客
06-26 4796
主要有2个坑: 1.通过网关访问/oauth/authorize的时候,无法跳转到redirect_uri返回授权2.访问/oauth/token 刷新token的时候,新的token解析后用户信息丢失,用户信息变成了用户名 问题一 通过网关访问/oauth/authorize的时候,会把信息缓存到session中,跳转到登录页登录后,正常来说会从session中取出信息,然后跳转到redirect_uri,但是通过网关访问时,跳到的login登录页是授权服务的,点击登录也是直接访问的授权服务,并没有通
OAuth2.0URL连接多参数时,第一次验证拦截器解析后只会得到第一个参数的问题
博客
02-02 2031
/** * 根据code获取Userid后跳转到需要带用户信息的最终页面 * * @param request * @param code * 获取微信重定向到自己设置的URL中code参数 * @param oauth2url * 跳转到最终页面的地址 * @return */ @RequestMapping(v
IT忍者神龟之解决微信授权回调页面域名只能设置一个的问题
IT忍者神龟
04-03 497
在做项目集成微信登录以及微信支付的时候,都需要进行用户授权。这个授权的流程可以简单描述为: 1. 用户从我们的应用触发需要授权的操作,比如点击微信登录; 2. 应用收到这种用户请求后,将用户重定向到微信提供的一个授权页面: 或 3. 用户通过微信扫码(PC端授权,上边左图)或者点击确认按钮(移动端授权,上边右图)告知微信,授权应用访问自己的微信账号信息; 4. 微信收到用户的授权许可后,生成授权...
【流量控制战术】:防止OpenAPI回调地址超载的策略
[【流量控制战术】:防止OpenAPI回调地址超载的策略](https://cdn.networklessons.com/wp-content/uploads/2013/04/policer-128kbps-token-bucket.png) # 1. 流量控制的基础概念 ## 1.1 流量控制的定义 流量控制是...
关于VUE,React,uniApp等打包前端项目在微信公众号中授权跳转带参方法
GASG的博客
05-14 817
微信公众号授权跳转流程 开发微信公众号H5页面项目时,授权微信用户信息是必不可少的一个过程,微信H5授权使用的是OAuth2.0鉴权方式进行授权,官方文档 简单描述来讲就是在页面中跳转到微信的授权地址带上微信公众号的APPID与一些传入信息以及回调地址,然后微信会回跳回调地址并且附带参数code,用code去获取微信用户的OPENID、UNIONID、头像、昵称、性别、语言、地区等等信息,但是微信官方规定回跳地址是不可以带参数的,带参数回调地址在回跳的时候参数丢失,但是在正常开发过程中不可避免的要带入参
oauth认证缺陷
03-14
若服务提供商对注册的回调 URL 缺乏严格校验,可能导致攻击者构造虚假的重定向地址欺骗受害者点击链接并获取其授权码或令牌。这使得攻击者能够冒充合法应用获得用户的敏感数据访问权[^1]。 3. **中间人攻击(MITM...
企业微信回调遇到的问题
My012_的博客
07-11 3775
在做通讯录同步的过程中遇到的2个问题 1)配置回调服务时,只配置了get请求,回调地址可以配置成功,但是当用户触发回调行为,微信会发送post请求,服务器会接受不到信息(必须配置GET/POST)。 2)假设企业的接收消息的URL设置为http://xxx.xxx.com。 企业管理员在保存回调配置信息时,企业微信会发送一条验证消息到填写的URL(GET请求),带着4个参数[msg_signa...
oauth
iteye_9302的博客
10-08 284
OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP、JavaScript,Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而OAUTH是简易的。目前互联网很多服务如Open API,很多大公司如Goo...
百度百聘 实践一(回调地址)
weixin_34337265的博客
11-04 376
2019独角兽企业重金招聘Python工程师标准>>> ...
广点通数据拉取
weixin_44407668的博客
04-01 843
广点通的广告数据拉取 首先设计一个接口用于授权回调授权流程如下, https://developers.e.qq.com/oauth/authorize?client_id=<CLIENT_ID>&redirect_uri=https://www.example.com/response&state=&scope= 在官方文档你会看到这样的授权说明, client_id 用户id redirect_uri回调地址 整个流程就是,你拼好参数直接在浏览器访问回弹出一个回调
OAuth2.0协议入门
Daniel462038751的专栏
10-20 2454
OAuth2.0 协议原理 OAuth 2.0 协议是一种三方授权协议,目前大部分的第三方登录与授权都是基于该协议的标准或改进实现。OAuth 1.0 的标准在 2007 年发布,2.0 的标准则在 2011 年发布,其中 2.0 的标准取消所有 Token 的加密过程,并简化了授权流程,但因强制使用 HTTPS 协议,被认为安全性高于 1.0 的标准。 一. 基础应用:第三方登录 ​ 对于 OAuth2.0 协议(以下简称 OAuth 协议)的第一次接触,我相信大部分开发者都是通过对接第三方登录
OAuth 授权机制
Hanyang Li的专栏
04-15 1497
OAuth 授权机制
微信登录java 回调
04-15
<think>好的,我现在要回答如何在Java中实现微信登录的回调功能。首先,我需要回忆一下微信登录的整体流程。用户在前端点击微信登录后,会跳转到微信的授权页面,用户同意授权后,微信会重定向到我们预先设置的回调地址,并附带一个授权码code。后端需要接收这个code,然后用它向微信服务器请求access_token和用户信息。 首先,用户提到的回调函数实现,可能类似于微信支付的回调处理。比如在支付回调中,需要处理微信服务器POST过来的数据,进行验签和解密。参考引用中的HttpUtils类,用来读取请求的数据,这可能同样适用于登录回调,但要注意的是,微信登录的回调通常是GET请求,携带code参数,而不是POST的数据。 接下来,根据引用中的示例,比如引用[2]中的PayController,使用的是Spring Boot的@RestController来处理POST请求。但微信登录的回调应该是GET请求,所以需要调整请求方法。可能需要类似的方法,比如在Controller中定义一个处理GET请求的接口。 然后,处理流程大致分为几步:接收code参数,用code获取access_token,再用access_token获取用户信息。每一步都需要与微信服务器进行HTTP交互,所以需要编写相应的HTTP客户端代码,比如使用RestTemplate或者OkHttp。 需要注意的是,在获取access_token的时候,需要验证应用的AppID和AppSecret,这些信息需要妥善保管,不能泄露。此外,微信返回的数据可能需要验签,确保请求来自微信服务器,防止伪造请求。这一点类似支付回调中的验签步骤,但登录回调是否有这个步骤?可能需要查阅微信官方文档确认。 另外,引用[3]提到了支付回调重复执行的问题,可能是在处理回调时没有正确返回响应,导致微信服务器重复通知。所以在登录回调处理中,处理完毕后需要正确返回响应,比如返回一个JSON响应或特定字符串,告知微信处理成功,避免重复回调。 代码结构方面,可以设计一个Controller类,处理微信的重定向请求。例如: @RestController @RequestMapping("/api/wechat") public class WechatLoginController { @GetMapping("/login/callback") public ResponseEntity<String> callback(@RequestParam("code") String code, @RequestParam(value = "state", required = false) String state) { // 使用code换取access_token String accessToken = getAccessToken(code); // 使用access_token获取用户信息 UserInfo userInfo = getUserInfo(accessToken); // 处理用户信息,如登录或注册 return ResponseEntity.ok("登录成功"); } private String getAccessToken(String code) { // 构造请求URL,包含appid, secret, code等参数 // 发送HTTP GET请求,获取响应,解析access_token } private UserInfo getUserInfo(String accessToken) { // 使用access_token和openid获取用户信息 } } 需要注意参数校验,比如state参数是否与发起登录时生成的一致,防止CSRF攻击。此外,异常处理也很重要,比如code无效或过期时,如何处理并返回错误信息。 另外,微信登录的回调地址需要在微信开放平台配置,确保域名和路径正确,否则微信不会发起回调。同时,回调接口需要处理可能出现的错误情况,比如用户拒绝授权,此时微信可能返回error参数,需要在代码中处理这种情况。 可能的问题点包括:code的一次性使用,即每个code只能使用一次,换取access_token后即失效;access_token的有效期,需要及时获取用户信息;用户信息的存储和处理,如何与现有用户系统整合。 总结步骤: 1. 配置微信开放平台的回调地址2. 编写Controller处理GET请求,接收code和state。 3. 使用code向微信服务器请求access_token。 4. 使用access_token获取用户信息。 5. 处理用户信息,返回响应。 需要参考微信官方文档的具体接口地址参数,确保请求正确。同时,安全措施如验签、state参数校验、HTTPS的使用都是必要的。</think>在Java中实现微信登录的回调功能需要遵循以下步骤,结合微信开放平台的接口规范和安全要求: --- ### **1. 配置回调域名** - 在微信开放平台设置授权回调域(如`www.yourdomain.com`),**仅需配置域名**,无需完整路径[^1]。 --- ### **2. 创建回调接口** 使用Spring Boot定义处理微信回调的Controller: ```java @RestController @RequestMapping("/api/wechat") public class WechatLoginController { @GetMapping("/auth/callback") public ResponseEntity<String> handleCallback( @RequestParam("code") String code, @RequestParam(value = "state", required = false) String state) { // 1. 校验state参数(防止CSRF攻击) if (!isValidState(state)) { return ResponseEntity.badRequest().body("非法请求"); } // 2. 使用code换取access_token String accessToken = fetchAccessToken(code); if (accessToken == null) { return ResponseEntity.status(500).body("获取token失败"); } // 3. 获取用户信息 UserInfo userInfo = fetchUserInfo(accessToken); // 4. 处理业务逻辑(注册/登录) return ResponseEntity.ok("登录成功"); } private boolean isValidState(String state) { // 比对session或缓存中的state值 return true; } private String fetchAccessToken(String code) { String url = "https://api.weixin.qq.com/sns/oauth2/access_token" + "?appid=APPID&secret=SECRET&code=" + code + "&grant_type=authorization_code"; // 使用RestTemplate发送请求并解析JSON响应 // 返回access_token和openid } private UserInfo fetchUserInfo(String accessToken) { String url = "https://api.weixin.qq.com/sns/userinfo" + "?access_token=" + accessToken + "&openid=OPENID"; // 解析用户信息(需处理字符编码问题) } } ``` --- ### **3. 安全注意事项** 1. **State参数校验** 在发起登录请求时生成随机state值并存储(如Session),回调时验证一致性[^2]。 2. **HTTPS强制要求** 微信要求回调地址必须为HTTPS协议。 3. **错误处理** 处理用户拒绝授权的情况(回调参数中可能包含`error`字段)。 --- ### **4. 处理时序图** ``` 用户点击登录 -> 跳转微信授权页 -> 用户授权 -> 微信重定向到回调地址 -> 后端接收code -> 换取access_token -> 获取用户信息 -> 完成登录 ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值