Openid Connect-Zustandsparameter ohne Cookies

Question

Die Spezifikation empfiehlt die Verwendung des Parameters state, um CSRF-Angriffsvektoren zu minimieren. Wenn der Authentifizierungsworkflow jedoch mit tokenbasierter Authentifizierung anstelle von sessionsbasierter Authentifizierung für die Benutzer des Konsumenten implementiert wird, wäre die Empfehlung zur Verwaltung des Status in Anbetracht dessen, dass er für eine Sitzung nicht festgelegt werden konnte.

Answer 1

Der CSRF betrifft browserbasierte Benutzeragenten. Die state sollte kryptographisch an den Benutzeragenten gebunden sein. Da der einzige Mechanismus zum Speichern der Bindung über ein Anfrage/Antwort-Paar, das für einen browserbasierten Benutzeragenten verfügbar ist, ein Cookie oder HTML-Speicher ist, sind Sie auf diese Optionen beschränkt.