那些遇到过的问题

Facebook 手动登录流程中的状态参数有何用途?

Gau*_*tam 5 authentication facebook fbconnect facebook-graph-api oauth-2.0

在 fb 开发人员文档中的 oauth 身份验证 api - 在确认身份部分有以下注释

请注意,您还可以生成自己的状态参数并将其与登录请求一起使用以提供 CSRF 保护。

您能帮忙解释一下这背后的具体含义吗?我的意思是,即使我生成了一个状态参数,我将如何使用它?我是否将其编码为身份验证请求 URL 的一部分?即使我这样做了又能有什么目的呢?

Kev*_*nry 7

我是否将其编码为身份验证请求 URL 的一部分?

是的。该文档中还提到了它作为可选的 URL 编码参数。

您提供的任何值都将包含在 Facebook 返回的重定向响应的 URL 中。因此,这是您将一些值传递到服务器的一种方式。

即使我这样做了又能有什么目的呢?

由于该值只是在您的应用程序和服务器之间传递,因此您可以决定如何处理它(如果有的话)。提到的例子就是CSRF保护。通过包含唯一令牌作为状态参数,您可以确保对服务器的调用来自您的应用程序,而不是某些恶意站点。

(不过,我认为这并没有被广泛使用,因为验证授权代码或访问令牌的要求涉及大多数攻击向量。)

归档时间:

查看次数:

5993 次

最近记录:

8 年,2 月 前
相关归档
在没有WWW-Authenticate的情况下返回AJAX响应的HTTP 401状态 12
Facebook API - 获取作者头像的个人资料 10
如何在Facebook页面上设计讨论标签? 8
Facebook iOS SDK-移动应用安装跟踪无效 8
多系统集中用户管理系统的最佳解决方案 7
Facebook发送api - 无法使用用户ID发送消息 5
禁用 Google OAuth(Web 服务器应用程序)的隐式流? 5
与社交网络和openid进行良好登录/注册集成的示例? 4
消费者和提供者的 LTI 合规示例 4
为什么facebook不使用og:title标签? 1
难疑归档
在Bash中提取文件名和扩展名 1969
为什么Python 3中的"1000000000000000在范围内(1000000000000001)"如此之快? 1890
使用pip升级所有包 1859
如何避免JSP文件中的Java代码? 1649
为什么++ [[]] [+ []] + [+ []]返回字符串"10"? 1613
int32的最大值是多少? 1383
如何在Python中打印到stderr? 1246
无法绑定到'ngModel',因为它不是'input'的已知属性 1173
如何在Vim中移动到行尾? 1140
如何向给定元素添加类? 1109