标签: oauth oauth-2.0 linkedin-api
我不确定是否必须在每个请求上随机生成一个唯一的“state”参数,或者我是否可以每次使用相同的字符串并将其保存为常量。
答案 0 :(得分:3)
最佳做法是使用“随机”值。
没有要求它“真正”独特。
但是,客户端应该使用它来跟踪会话。如果每个请求都发送了相同的State参数,那么某些拦截器的漏洞就会形成类似于跨站点脚本攻击的响应。
最佳做法是对理论上不重复的每个请求使用“随机”值。
-Jim