Node.js 使用Spotify授权端点时的CSRF保护

我正在尝试为我的用户实现将他们的Spotify帐户链接到我的应用程序中的个人资料的功能。Spotify官方表示，在对

/authorize

端点执行请求时，应提供

状态

字段，以避免CSRF攻击

然而，在我的特殊情况下，我不太理解这种方法。我的客户端应用程序是一个iOS移动应用程序，它使用JSON Web令牌进行身份验证。只有在检测到正确的令牌后，我的服务器才会将Spotify API的授权链接返回给客户端，从而允许用户授权我的应用程序因此，CSRF请求实际上是不可能的，对吗？

成功授权后，Spotify api调用预定义回调，将最初提供的

状态

字段附加为URL查询项

我想知道我是否可以提供发出请求的帐户的用户id，以便成功回调包括对我数据库中用户帐户的引用，从而允许我的服务器将返回的访问和刷新令牌快速链接到它

但是，为

状态

字段提供用户id不符合标准，因为它不是不透明的值

现在，我想咨询一下我是否应该使用STATE字段。如果是这样的话，我可以只插入当前帐户的用户id，因为这将简化我的工作，还是它必须是随机生成的值