在https://developers.google.com/identity/protocols/OAuth2WebServer#handlingresponse上阅读了Google OAuth文档,我很惊讶(或至少好奇为什么)没有关于state
的文档。即使在非隐式流程中,防止CSRF攻击(http://tools.ietf.org/html/rfc6819#section-4.4.1.8)也是非常重要的。为什么Web OAuth的Google OAuth 2.0文档没有提及“状态”参数?
我是否缺少建议state
的参数不是绝对必要?似乎应该在文档中强调,所以人们不会将他们的应用程序留下CSRF漏洞。