Я работаю с eBay API, используя OAuth в моем текущем приложении проекта Meteor.
Существует раздел приложения, в котором я могу создать профиль учетной записи eBay и назначить для нее пользовательские значения (например, присвоить ему псевдоним и т. Д.). Здесь я инициирую процесс перенаправления входа OAuth.
Мой вопрос касается параметра 'state' в запросах токена. Я понимаю, что это помогает предотвратить CSRF, но должен ли я использовать его таким образом? 'state' делает необязательным, в конце концов.
Допустим, я хотел передать другое значение в вызов запроса, например строку 'eBay Seller', и ожидать, что такая же точная строка будет возвращена в ответе. Я хочу использовать это значение, чтобы помочь моему приложению определить, какой учетной записи назначить возвращаемые токены (в зависимости от того, какой профиль учетной записи инициировал ссылку перенаправления).
Является ли 'state' допустимым местом для передачи переменной, которую я ожидаю вернуть точно в том виде, в котором она была отправлена? Я решил использовать переменные Session для обработки этого сценария, но быстро понял, что это не сработает, поскольку процесс OAuth выводит меня за пределы домена моего проекта.
OAuth поддерживает передачу переменных, которые, как ожидается, будут возвращены как отправленные? Разрешено или даже рекомендуется отправлять мою переменную как «состояние» (или абсолютно не рекомендуется ?) Есть ли лучший способ добиться того, что я хочу сделать, не включая обновление значений базы данных?
Спасибо!