第108-109行,作者查看了Oauth2.0认证后返回的state参数是否和传入的一样,有必要吗?状态参数将如何更改或在 web 视图中受到损害?
问问题
77 次
1 回答
0
推荐的。客户端用来维护请求和回调之间状态的不透明值。授权服务器在将用户代理重定向回客户端时包含此值。该参数应该用于防止跨站点请求伪造,如第 10.12 节所述。
来自https://www.rfc-editor.org/rfc/rfc6749#section-4.1.1
但是,我认为这不是绝对必要的,因为由于 OAuth 2.0 协议默认提供的 SSH,有人尝试进行跨站点伪造将是一件很困难的事情。尽管如此,这仍然是一种很好的安全措施,因为有人可能会了解请求的发出方式或其中的一部分并试图伪造。同样有趣的是,这在移动设备上是如何变化的,但老实说,它并没有太大变化。检查状态的重要一点是,如果用户所在的网站在 WebView 中被黑客入侵,那么移动应用程序可以使用该状态来保护自己不接受被黑客入侵的网站信息。无论如何,这是关于状态变量的众多对话之一。
希望这可以帮助。安东尼
于 2013-11-11T22:53:37.770 回答