如何使用 Node.js 为 OAuth 中的“state”参数生成一个随机的、不可猜测的字符串?
我正在构建一个简单的网站,并希望实施 OAuth 进行身份验证。
我读到在授权请求中包含一个“状态”参数对于防止 CSRF 攻击是必要的。但是,我不确定我使用状态参数实现 CSRF 攻击保护的实现是否正确。
为了防止 CSRF 攻击,我正在考虑以下方法:
- 生成一个随机字符串。
- 加密字符串并将其存储在 httpOnly cookie 中,以便我以后可以检索它。
- 散列字符串并将散列作为状态传递给授权服务器。
- 当授权服务器将“state”参数传回回调 URL 时,将哈希值与从 cookie 中检索到的原始字符串进行比较。
任何指导或示例将不胜感激。谢谢!
回答如下: