OAuth 2.0“state”参数是否应该对每个请求都是唯一的,还是可以存储?

时间:2017-02-24 10:53:15

标签: oauth oauth-2.0 linkedin-api

我不确定是否必须在每个请求上随机生成一个唯一的“state”参数,或者我是否可以每次使用相同的字符串并将其保存为常量。

1 个答案:

答案 0 :(得分:3)

最佳做法是使用“随机”值。

没有要求它“真正”独特。

但是,客户端应该使用它来跟踪会话。如果每个请求都发送了相同的State参数,那么某些拦截器的漏洞就会形成类似于跨站点脚本攻击的响应。

最佳做法是对理论上不重复的每个请求使用“随机”值。

-Jim