Первым шагом для приложений OAUTH является запрос идентификатора провайдера аутентификации (например, GitHub, Facebook и т. Д.).Ожидается, что для этого запроса будет создана неопровержимая случайная строка.Он используется для защиты от атак подделки межсайтовых запросов (см. документация github ).Позже эта строка проверяется, поскольку она отправляется обратно провайдером.
Это означает, что я должен хранить такую строку на своем бэкэнде каждый раз, когда запрашивается URL провайдера (т. Е. На странице входа в систему).
Это может привести к присоединению DDOS, просто вызывая мою страницу входа снова и снова: новая строка CSRF будет сгенерирована и сохранена снова и снова.
Первое: правильна ли моя логика, возможно, ячто-то упустили?
Во-вторых: есть ли лучший способ предотвратить это плохое поведение?Я могу использовать таймерный кэш, где срок действия токенов CSRF истекает, но все еще недостаточно хорош.