Ich bin mir nicht sicher, ob ich bei jeder Anfrage zufällig einen eindeutigen "state" -Parameter erzeugen muss, oder ob ich immer denselben String verwenden und als Konstante speichern kann.Sollte der OAuth 2.0-Parameter "state" für jede Anforderung eindeutig sein oder kann er gespeichert werden?
Die beste Vorgehensweise besteht darin, einen "zufälligen" Wert zu verwenden.
Es gibt keine Anforderung, dass es "wirklich" einzigartig ist.
Es sollte jedoch vom Client verwendet werden, um die Sitzung zu verfolgen. Wenn bei jeder Anfrage derselbe State-Parameter gesendet wurde, besteht die Gefahr, dass ein Intercepter eine ähnliche Reaktion wie Cross-Site-Scripting-Attacken erzeugt.
Best Practice wäre die Verwendung eines "zufälligen" Wertes für jede Anfrage, die sich theoretisch nicht wiederholt.
-jim
Ich stimme dir zu. Zusätzlich zu dieser Antwort möchte ich mit Ihnen [diesen Spezifikationsentwurf] (https://tools.ietf.org/id/draft-bradley-oauth-jwt-encoded-state) teilen, der versucht, einen Mechanismus vorzuschlagen, bei dem es mehrere gibt Statusattribute können in einem JWT codiert werden. In diesem Fall ist der Zustandsparameter kein zufälliger Wert (kann aber eindeutig sein). –