根据这里的链接
- 创建一个唯一的会话令牌,用于保存您的应用程序和用户客户端之间的状态。
- 稍后将此唯一会话令牌与 Google OAuth 登录服务返回的身份验证响应进行匹配,以验证合法用户是否正在发出请求
问题:在向 google OAuth 登录服务发出请求时,中间人还可以嗅探我的包含状态的流量并将相同的唯一会话令牌发送回我的重定向 url。在这种情况下,如何理解对我的重定向 url 发出的请求是来自谷歌还是来自攻击者?
问问题
34 次
根据这里的链接
问题:在向 google OAuth 登录服务发出请求时,中间人还可以嗅探我的包含状态的流量并将相同的唯一会话令牌发送回我的重定向 url。在这种情况下,如何理解对我的重定向 url 发出的请求是来自谷歌还是来自攻击者?