代码之家  ›  专栏  ›  技术社区  ›  JSmith

是否为OAuth 2.0请求生成状态参数后端或前端?

openid-connect google-signin oauth-2.0
  •  1
  • JSmith  · 技术社区  · 6 年前

    我一直在网上搜索答案,但找不到清楚的答案。 因为我不太了解CSRF攻击 state OAuth2.0中的参数是为了避免这种攻击,我只是想知道 状态 需要在客户端生成参数,并将值放在本地存储或后端服务器上,然后将其存储到会话变量中,然后返回到客户端以创建URL。第一个解决方案似乎是最好的,但它安全吗?

    非常感谢您的帮助。

    1 回复  |  直到 6 年前
        1
  •  1
  •   Kavindu Dodanduwa    6 年前

    更多关于 状态 参数可以从中找到 this answer .

    生成状态的位置和存储位置取决于应用程序的性质。无论客户机类型如何,客户机必须在授权代码响应中验证状态参数。

    对于不包含后端的单页应用程序,状态必须生成并存储在浏览器本身中。一旦响应到达,就必须比较状态值。

    对于本机应用程序(例如:移动应用程序),状态可以存储在应用程序内存中。它可以附加在授权请求中。当响应到来时,可以从内存中验证它。

    如果应用程序需要,状态可以存储在后端(例如-server)。这可以被认为更安全(与SPA相比),因为除了请求本身,没有人可以截取/获取该值。一旦发生重定向,后端就可以验证响应参数。此外,它还可以用于关联客户机会话。

    此外,窃取状态值只对试图进行CSRF攻击的一方有价值。但要注意生成无法猜测的状态值。进一步阅读以便存储- 3.6. "state" Parameter

    推荐文章
    James.Alocard  ·  Cypress给出“此浏览器或应用程序可能不安全”的谷歌身份验证
    6 月前
    Eric  ·  谷歌登录按钮几乎无法使用新的“谷歌身份服务库”进行定制
    1 年前
    TheGreatCornholio  ·  Android Kotlin-凭据管理器登录-协同作用域
    1 年前
    bobi  ·  如何修复:谷歌登录按钮未经验证
    1 年前
    Big_Boulard  ·  谷歌在localhos上的登录测试:oAuth同意屏幕授权域的问题
    2 年前
    jibzy  ·  如何在vue3中使用谷歌登录
    2 年前
    ajayv  ·  在谷歌令牌模型中,如何处理访问令牌到期和谷歌登录状态?
    3 年前
    Daniel KODOH  ·  如何让google signin在localhost上工作
    3 年前
    Rohan Patel  ·  onActivityResult()在谷歌登录时不调用创建新帐户
    7 年前
    elmazzun  ·  我应该为我的web应用程序创建多少客户端ID?
    7 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号