Question

У меня есть веб-приложение с внешним интерфейсом javascript и бэкэндом без сохранения состояния. Мне нужно авторизовать пользователя через OAuth2. Когда я перенаправляю пользователя к провайдеру OAuth2, мне нужно привязать параметр состояния к запросу, чтобы предотвратить CSRF-атаку . Когда поставщик OAuth2 перенаправляет пользователя обратно в мое приложение, мне нужно проверить, что параметр состояния совпадает. Я не могу сохранить параметр состояния в бэкэнде, потому что он не имеет состояния. Безопасно ли хранить параметр состояния OAuth2 в каком-то javascript хранилище?

Gary Archer · Answer 1 · 10 февраля 2020

Обычный метод для SPA - сохранить параметр состояния в браузере через HTML5 хранилище сеансов и удалить его при получении ответа. Это просто неосуществимое значение, которое изменяется для каждого перенаправления.

Пара связанных ссылок:

Из интереса вышеупомянутая широко используемая сертифицированная библиотека использует это поведение.

Безопасно ли хранить параметр состояния OAuth2 в хранилище javascript (cook ie, локальное хранилище)?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Безопасно ли хранить параметр состояния OAuth2 в хранилище javascript (cook ie, локальное хранилище)?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов