Sa-Token OAuth2模块中redirect_uri参数校验问题解析

在使用Sa-Token的OAuth2模块进行授权登录时，开发者可能会遇到"无效redirect_uri"的错误提示。这个问题看似简单，但实际上涉及OAuth2协议规范、URI编码处理以及前后端交互等多个技术点。

问题现象

当开发者按照OAuth2授权码模式流程实现登录功能时，在从授权端点跳转到token端点的过程中，系统抛出SaOAuth2ClientModelException异常，提示"无效redirect_uri"。具体表现为：

1. 前端发起授权请求时，redirect_uri参数值为https://dhub.domain.net/c/oidc/callback
2. 后端校验失败，即使数据库中的allowurls配置与该地址完全一致
3. 将数据库中的allowurls改为通配符"*"后，流程可以正常进行

问题根源分析

经过深入排查，发现问题的根本原因在于URI编码处理不一致。OAuth2协议规范要求：

1. 授权请求中的redirect_uri参数必须进行URI编码
2. 后端在校验时会对传入的redirect_uri进行解码
3. 前端如果自行解码了redirect_uri参数，会导致后端校验时获取的值与原始配置不匹配

具体来说，当授权请求中的redirect_uri参数值为https%3A%2F%2Fdhub.domain.net%2Fc%2Foidc%2Fcallback时，这是符合规范的编码形式。但如果前端在传递到token端点前自行解码为https://dhub.domain.net/c/oidc/callback，就会导致后端校验失败。

解决方案

针对这个问题，有以下几种解决方案：

1. 前端保持URI编码一致性：确保前端在传递redirect_uri参数时不进行额外的URI解码操作。在JavaScript中，避免使用decodeURIComponent()处理该参数。

2. 后端配置调整：在SaClientModel的allowRedirectUris配置中，可以同时包含编码前后的URI形式，但这会降低安全性。

3. 自定义校验逻辑：通过重写SaOAuth2Template的checkGainTokenParam方法，实现更灵活的URI校验逻辑。

最佳实践是采用第一种方案，保持前端不进行额外的URI解码处理，让OAuth2流程按照协议规范自然执行。

技术要点总结

1. OAuth2协议规范：redirect_uri参数在传输过程中必须保持URI编码状态，这是协议的安全要求。

2. Sa-Token实现机制：Sa-Token在校验redirect_uri时会自动进行URI解码，然后与配置的allowRedirectUris进行比对。

3. 前后端协作：前端开发者需要了解OAuth2流程的参数处理要求，避免破坏协议约定的数据格式。

通过理解这些技术要点，开发者可以更好地在Sa-Token框架下实现符合规范的OAuth2授权流程，避免类似的参数校验问题。