我需要在javascript中创建一个防伪状态令牌,我不能使用外部jar文件或Google API。是否有任何其他示例可以帮助您实现OAuth 2.0 OpenConnect协议。
Here是创建防伪状态令牌的信息
答案 0 :(得分:0)
如果我有足够的代表来发表评论我会......
无法使用Javascript生成随机/唯一编号,将其与Google API请求一起发送,然后根据Google在回调中返回的数字验证您最初生成的编号?这是我对防伪标记的理解。或者您可以使用AJAX GET生成令牌服务器端并验证服务器端。只是一些想法,我从来没有真正尝试过这些,所以可能会有安全隐患。另请参阅here(同源政策)。
您引用的Google示例用于生成令牌的方法是纯PHP - 随机数的MD5哈希值。您可以在Javascript中执行此操作。谷歌声明:
状态标记的一个好选择是一个包含30个左右字符的字符串 使用高质量的随机数发生器构建。另一个是 通过使用a签署一些会话状态变量生成的哈希 密钥在你的后端保密。