1
我不確定是否必須爲每個請求隨機生成唯一的「狀態」參數,或者每次都可以使用相同的字符串並將其保存爲常量。對於每個請求,OAuth 2.0「狀態」參數應該是唯一的還是可以存儲?
A
回答
3
最佳做法是使用「隨機」值。
沒有要求它是「真正」獨特的。
但是,它應該由客戶端用來跟蹤會話。如果每個請求都發送相同的狀態參數,那麼某些攔截器會形成類似於跨站點腳本攻擊的響應。
最佳做法是對理論上不重複的每個請求使用「隨機」值。
-jim
相關問題
- 1. Ajax請求,應該是POST還是PUT
- 2. EntityManager生存期是否應每個Servlet請求?還是更長?
- 3. 我可以爲每個補丁存儲變量還是應該使用海龜?
- 4. T應該是一個參數,一個函數還是什麼?
- 5. 是否可以使用AWS Lambda來請求oauth 2.0令牌?
- 6. 我應該將美國狀態存儲爲數組還是創建表列?
- 7. 我應該使用道具還是狀態來存儲TreeView數據?
- 8. HttpContext.ApplicationInstance.Context對每個請求都是唯一的嗎?
- 9. 我可以緩存WaitForEndOfFrame,還是應該每次使用yield new?
- 10. 作爲參數在update方法中傳遞的對象可以處於持久狀態還是分離狀態?
- 11. 我應該在數據庫中存儲hashids還是在每個請求上解碼它們?
- 12. 這應該是一個錯誤 - ASP.NET請求參數
- 13. transid應該是laravel中唯一的存儲檢查(value transid應該是單店)
- 14. 是否可以使用單個SNMP請求請求多個狀態?
- 15. 如何將每個請求狀態存儲在EWL中?
- 16. http請求的參數可以是一個url嗎?
- 17. C99 fesetround()/ fegetround()狀態是每個線程還是每個進程?
- 18. 我應該複製一個std :: function還是我可以總是參考它?
- 19. 我應該總是使用服務,還是可以直接使用存儲庫?
- 20. 靜態數據應該存儲在數據庫還是應用程序中
- 21. OAuth授權請求中'狀態'參數的用途
- 22. 節點,是每個請求和響應唯一或緩存,而不考慮URL
- 23. Rails:state_machine方法適用於此狀態還是以後的狀態?
- 24. 是請求對象id唯一嗎?
- 25. JSF是否緩存兩個請求之間的每個組件的狀態?
- 26. 使用linqTOsql的MVC 2站點是否需要每個表對象的存儲庫,還是每個站點應該有一個存儲庫?
- 27. 是否可以分配函數參考以反應狀態?
- 28. 我應該返回501/505 HTTP狀態還是400/404
- 29. 創建oAuth 2.0服務器實現時,請求URI應該是什麼?
- 30. 我應該爲每個Web請求使用靜態緩存ResourceManager還是新實例?有關係嗎?
我同意你的意見。除了這個答案之外,我想與你分享[本規範草案](https://tools.ietf.org/id/draft-bradley-oauth-jwt-encoded-state),它試圖提出一種機制,狀態屬性可以被編碼到JWT中。在這種情況下,狀態參數不是隨機值(但可能是唯一的)。 –