我已经为不同的Google服务实施了两次Google OAuth2登录,但是从未真正考虑过如果不包括会话令牌,如何滥用状态令牌。
我了解CSRF的原理,并且已经按照https://developers.google.com/accounts/docs/OAuth2Login(状态令牌包含会话令牌)中的说明实施了OAuth2流,但我只是看不到如何如果会话令牌不存在,攻击者可能会滥用此权限。
可能与我在Google同意页面上成功响应后的操作有关(我获取刷新+访问令牌,将它们存储到状态令牌中指定的用户,然后重定向到状态令牌中也指定的另一个页面),但是怎么做否则有问题吗?
我在一个相关的问题中看到了这个答案,该问题说明了如何进行CSRF攻击(以及状态令牌如何阻止它):https : //stackoverflow.com/a/23640462/736247
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句