Stripe有一个状态参数,它返回给我以验证
https://connect.stripe.com/oauth/authorize?response_type=code&client_id=ca_ABCDEFG12345&scope=read_write&redirect_uri=https://sub2.example.com&state=asdf1234
哪个好极了!但是如果我想在Stripe返回时从Stripe中获取一些东西呢?我可以将多条信息传递给此参数吗?是通过字符串化和对象然后在返回时解析它来实现此目的的最佳方法吗?
答案 0 :(得分:1)
好问题!根据设计,您不应该通过OAuth2状态参数传递可序列化数据,因为它会打开一个窗口,恶意方可以在该窗口返回到您的应用程序之前对其进行编辑。您应该使用自己的应用程序验证状态来验证您的用户' Stripe OAuth流返回您的网站后即可识别身份。
建议你使用' state'作为CSRF保护,并通过您自己的应用程序传递任何敏感参数: