OAuth 2.0状态参数
假设我想将另一个值传递到请求调用中,比如字符串'e Bay Seller',并期望在响应中返回相同的字符串。我想使用这个值来帮助我的应用程序确定将返回的令牌分配给哪个帐户(基于哪个帐户配置文件启动了重定向链接)。
“state”是传递变量的有效位置吗?我考虑使用会话变量来处理这个场景,但很快意识到这是行不通的,因为OAuth流程将我带出了我的项目域之外。
OAuth是否支持传递预期作为发送返回的变量?是否允许或甚至建议(或绝对不建议)发送我的变量为'state'?)有没有更好的方法来实现我想要做的事情,而不涉及更新数据库值?
谢谢!
共有1个答案
您可以将所需内容作为状态发送。不过,您应该尝试确保它不是猜测的,以减轻对CSRF攻击的影响。
如果您想返回有用的信息,比如'eBay Seller',那么包含一些CSRF信息(例如,会话密钥id的哈希)和文本'eBay Seller',并对它们进行分隔。
2CF24DBA5FB0A30E26E83B2AC5B9E29E1B161E5C1FA7425E73043362938B9824|ebay seller
现在您拥有了两个世界的最佳选择:有用的状态信息+CSRF保护。您的重定向endpoint逻辑可以检查会话id的哈希匹配,还可以确认初始请求中的帐户类型。
-
当用户单击“登录”时,会重定向到KeyClope登录页面 [Server:node-00]13:40:00709警告[org.keydape.adapters.OAuthRequestAuthenticator](默认任务-30)状态参数无效 我的申请是: 应用程序URL为https://localhost:8443/app 当我使用超文本传输协议时,它可以工作。但是当我使用https时,错误就来
-
在我的React JS项目中,我正在处理。我已经通过了使用进行私有路由和身份验证的示例。 https://reacttraining.com/react-router/web/example/auth-workflow 根据这个留档,他们创建了一个作为无状态组件。 但我的要求是将其转换为有状态的React组件,因为我想将我的组件连接到redux存储。 这是我的代码。 无状态组件 我将这个组件转换成
-
HTTP Status 404-/controller/results.jsp类型状态报告消息/controller/results.jsp描述请求的资源(/controller/results.jsp)不可用。Apache Tomcat/7.0.12 我的web.xml代码: servlet-context.xml 谢了。
-
OAuth 2.0 OAuth 2.0(Open Anthentication) 是一个 开放标准授权, 它授予客户端应用程序安全授权访问受保护的服务器资源代表资源所有者(用户).Oauth2.0 还定义了资源拥有者授权的第三方访问其服务器资源过程,不予它们共享证书. StrongLoop API网关附带实现的OAuth 2.0协议,并提供元数据的持久性和管理一个OAuth 2.0提供者。 下图提
-
问题内容: 我正在使用Cordova和AngularJS制作一个移动应用程序。目前,我已经安装了ui-router进行路由,但是我愿意接受其他任何路由选择。 我的愿望:我想缓存某些绑定了参数的视图。换句话说,我想缓存路径(或页面)。 情况示例:假设我们看到某个仪表板页面,单击某些书的封面,该书的封面会重定向到path 。该路径是第一次加载到应用程序中。路由器从重定向到(无论名称如何)。现在,加载给
-
在我开发的一个应用程序上,我试图为应用程序的页面保留一个好的、可读的url。我从url开始,如下所示:http://somedomain.com/context/?param1=value getRequestCycle()。setResponsePage(新建其他页面(obj1、obj2、pageParameters) 在这里,目标1和目标2是初始化页面所需的对象。正如我从这篇文章中理解的那样,