我正在尝试使用户能够将他们的Spotify帐户链接到我的应用程序中的个人资料。在Spotify的官方API docs中,它表示在STATE端点上执行请求时应提供/authorize字段,以避免CSRF攻击。
但是,在我的特殊情况下,我不太了解这种方法。我的客户端应用程序是一个iOS移动应用程序,它使用JSON Web令牌进行身份验证。仅在检测到正确的令牌后,我的服务器才会将Spotify API的授权链接返回给客户端,从而允许用户对我的应用程序进行授权。 因此,CSRF请求实际上是不可能的,对吧?
在成功获得授权后,Spotify api会调用预定义的回调,并将最初提供的STATE字段附加为URL查询项。
我想知道是否可以仅提供发出请求的帐户的用户ID ,以便成功回调在数据库中包含对该用户帐户的引用,从而允许我的服务器快速链接返回的访问和刷新令牌。
但是,为STATE字段提供用户ID将不符合RFC6749标准,因为它不是一个不透明的值。
现在,我想咨询,是否应该使用STATE字段。如果是这样,我可以插入当前帐户的用户ID,这样可以简化我的工作,还是必须是随机生成的值?