Процесс OAuth 2, начинающийся с Сервера авторизации вместо службы клиента

Question

У меня есть сервер авторизации OAuth2.0 в соответствии с потоком кода авторизации ( rfc ), и он работает нормально.

Давайте подведем итоги процесса, когда пользователь посещает другой веб-сайт (называемый веб-сайтом)А) которые установили отношения с моим сервером авторизации.

1. пользователь нажимает на ссылку или что-то в этом роде
2. он перенаправляется на мой сервер (на AuthorizeEndpoint), где он может войти и датьсогласиться на некоторые вещи
3. вернуться на веб-сайт A с кодом авторизации
4. веб-сайт A обменивает код авторизации с токенами доступа и обновления, после чего он может запросить API со своим токеном

Мой вопрос: если пользователь посещает мой веб-сайт вместо веб-сайта A, можно ли согласиться и затем перенаправить его на веб-сайт A с кодом авторизации, хотя веб-сайт A и сделалне делать первоначальный запрос?Другими словами, можно ли пропустить первый шаг, если на моем веб-сайте уже уже ?Или я "нарушаю" стандарт?

Answer 1

Я провел некоторые исследования, и мне кажется, что я не могу сделать это, потому что в этом контексте параметр state неприменим, поэтому я больше не могу предотвращать CSRF-атаки.