POC: OneKey Supabase OAuth redirect

🔐 POC: OAuth `redirect_to` Whitelist Bypass Test

测试目标：https://auth.onekey.so/auth/v1/authorize
测试点：Supabase 是否对 redirect_to 参数做了严格白名单校验
仅限授权安全测试

配置参数

Supabase URL

https://auth.onekey.so

Anon Key（源码 authConsts.ts:202，公开值）

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJyb2xlIjoiYW5vbiIsImlzcyI6InN1cGFiYXNlIiwiaWF0IjoxNzY5MTc1MzMxLCJleHAiOjE5MjY4NTUzMzF9.d0Zd8eBV8L_EcKDXiJRNTEYGw-dX6IdyDCr0nvOiLqg

redirect_to（本页面 URL，非白名单域名）

OAuth Provider

apple

当前状态

等待操作...

操作

PKCE 参数（本地生成）

code_verifier

code_challenge（SHA-256 base64url）

构造的 OAuth URL（即将跳转）

回调结果

捕获到的授权码 auth_code

Supabase state

Token Exchange 结果

🔐 POC: OAuth redirect_to Whitelist Bypass Test

🔐 POC: OAuth `redirect_to` Whitelist Bypass Test