OAuth 2.0 "state" 参数对于每个请求应该是唯一的还是可以存储?
Should OAuth 2.0 "state" parameter be unique for each request or can it be stored?
我不确定我是否必须在每个请求中随机生成一个唯一的 "state" 参数,或者我是否可以每次都使用相同的字符串并将其保存为常量。
最佳做法是使用 "random" 值。
不要求 "truly" 独一无二。
但是,客户端应该使用它来跟踪会话。如果每个请求都发送相同的 State 参数,则存在某些拦截器伪造类似于跨站点脚本攻击的响应的漏洞。
最佳做法是为理论上不会重复的每个请求使用 "random" 值。
-吉姆
我不确定我是否必须在每个请求中随机生成一个唯一的 "state" 参数,或者我是否可以每次都使用相同的字符串并将其保存为常量。
最佳做法是使用 "random" 值。
不要求 "truly" 独一无二。
但是,客户端应该使用它来跟踪会话。如果每个请求都发送相同的 State 参数,则存在某些拦截器伪造类似于跨站点脚本攻击的响应的漏洞。
最佳做法是为理论上不会重复的每个请求使用 "random" 值。
-吉姆