4
我已经多次为不同的Google服务实现Google OAuth2登录,但从未真正考虑过如果不包含会话令牌,状态令牌如何被滥用。CSRF的Google OAuth状态令牌实际上阻止了什么?
我理解CSRF的原理,并且已经实现了我的OAuth2流程,如https://developers.google.com/accounts/docs/OAuth2Login(带有会话令牌的状态令牌)中所述,我只是看不到如果会话令牌不是当下。
也许这与我在Google同意页面的成功响应(我获得刷新+访问令牌,将它们存储到状态令牌中指定的用户并重定向到也在状态令牌中指定的另一个页面) ,但是这又怎么样呢?