在OAuth中,初始授权请求有一个state
参数。显然是出于安全原因,但我不太明白它能保护什么.例如,论GitHub这个参数的描述是:
无法猜测的随机字符串。它用于防止跨站点请求伪造攻击。
据我所见,授权请求的状态只是作为参数传递给重定向URL,如下所示:
http://<redirect_url>?code=17b1a8df59ddd92c5c3b&state=a4e0761e-8c21-4e20-819d-5a4daeab4ea9
有人能解释一下这个参数的确切用途吗?
发布于 2014-09-30 16:58:37
状态参数用于防止XSRF。应用程序生成一个随机字符串,并使用状态参数将其发送到授权服务器。授权服务器返回状态参数。如果两种状态都是相同的=>,那么OK。如果状态参数不同,则由其他人发起请求。
Google的例子可能更清晰:https://developers.google.com/accounts/docs/OAuth2Login?hl=en#createxsrftoken
https://stackoverflow.com/questions/26132066
复制相似问题