行 108 ~ 109 で、作成者は、Oauth2.0 認証の後に返された状態パラメーターが渡されたものと同じかどうかを確認します。それは必要ですか? 状態パラメーターは、webview でどのように変更または侵害されますか?
1 に答える
0
おすすめされた。リクエストとコールバックの間の状態を維持するためにクライアントが使用する不透明な値。認可サーバーは、ユーザーエージェントをクライアントにリダイレクトするときにこの値を含めます。パラメータは、セクション 10.12 で説明されているように、クロスサイト リクエスト フォージェリを防止するために使用する必要があります。
https://www.rfc-editor.org/rfc/rfc6749#section-4.1.1から
ただし、OAuth 2.0 プロトコルからデフォルトで提供される SSH のために、誰かがクロスサイト フォージェリを試みるのは難しいので、絶対に必要だとは思いません。ただし、誰かがリクエストの作成方法またはその一部を知り、偽造しようとする可能性があるため、これは依然として優れたセキュリティ対策です。また、これがモバイルでどのように変化したかは興味深いですが、正直なところ、それほど変化していません。チェックされる状態について重要なことは、ユーザーが WebView でハッキングされた Web サイトにいた場合、モバイル アプリケーションはその状態を使用して、ハッキングされた Web サイトの情報を真として受け入れないように保護できるということです。とにかく、これは状態変数についての多くの会話の 1 つです。
お役に立てれば。アンソニー
于 2013-11-11T22:53:37.770 に答える