1
我不確定是否必須爲每個請求隨機生成唯一的「狀態」參數,或者每次都可以使用相同的字符串並將其保存爲常量。對於每個請求,OAuth 2.0「狀態」參數應該是唯一的還是可以存儲?
我不確定是否必須爲每個請求隨機生成唯一的「狀態」參數,或者每次都可以使用相同的字符串並將其保存爲常量。對於每個請求,OAuth 2.0「狀態」參數應該是唯一的還是可以存儲?
最佳做法是使用「隨機」值。
沒有要求它是「真正」獨特的。
但是,它應該由客戶端用來跟蹤會話。如果每個請求都發送相同的狀態參數,那麼某些攔截器會形成類似於跨站點腳本攻擊的響應。
最佳做法是對理論上不重複的每個請求使用「隨機」值。
-jim
我同意你的意見。除了這個答案之外,我想與你分享[本規範草案](https://tools.ietf.org/id/draft-bradley-oauth-jwt-encoded-state),它試圖提出一種機制,狀態屬性可以被編碼到JWT中。在這種情況下,狀態參數不是隨機值(但可能是唯一的)。 –