|
|
1
2
我的问题是:我的理解正确吗 不 为什么?
状态有助于将授权请求与授权响应相关联,并防止跨站点请求伪造。假设您的客户机有一个接收响应的重定向URL。如果恶意方使用有效的访问令牌(当使用隐式流时)重定向到您的客户端,该怎么办。如果此访问令牌允许访问同一资源服务器中属于恶意方的有效资源怎么办。 OAuth 2.0 (RFC6749) give a solid example for this on bank account details .
状态参数可防止此类攻击。此外,我欢迎你通过 RFC6819 - Threat Model and Security Considerations CSRF attack and usage of state 也。 |