Laravel Socialite具有“无状态”模式,禁止将任何内容存储到会话中。从阅读源代码来看,它没有做任何不同的事情 - 它只是不存储或检索这些值。
作为其中的一部分,它是assumes,例如OAuth状态始终有效。
检查这是Twitter sign-in documentation告诉我们要做的事情之一。
所以我想知道使用社交网络的无状态模式会产生什么样的安全隐患。
如果它是严重的,对于作为无状态API运行的应用程序,会有什么样的变通方法?我可以在Redis商店中存储东西,但我不确定如何将任何信息与当前用户联系起来。通过重新实现Socialite的功能,我可以将状态存储在缓存中,并通过用户IP和浏览器指纹的一些哈希来键入。但这似乎非常混乱。
答案 0 :(得分:0)
@iandayman 的这个回答显示了在登录流程中没有 OAuth state 参数会出现什么问题:https://stackoverflow.com/a/35988614