Node.js 使用Spotify授权端点时的CSRF保护
我正在尝试为我的用户实现将他们的Spotify帐户链接到我的应用程序中的个人资料的功能。Spotify官方表示,在对Node.js 使用Spotify授权端点时的CSRF保护,node.js,security,oauth-2.0,jwt,spotify,Node.js,Security,Oauth 2.0,Jwt,Spotify,我正在尝试为我的用户实现将他们的Spotify帐户链接到我的应用程序中的个人资料的功能。Spotify官方表示,在对/authorize端点执行请求时,应提供状态字段,以避免CSRF攻击 然而,在我的特殊情况下,我不太理解这种方法。我的客户端应用程序是一个iOS移动应用程序,它使用JSON Web令牌进行身份验证。只有在检测到正确的令牌后,我的服务器才会将Spotify API的授权链接返回给客户端,从而允许用户授权我的应用程序因此,CSRF请求实际上是不可能的,对吗? 成功授权后,Spotif
/authorize
端点执行请求时,应提供状态
字段,以避免CSRF攻击
然而,在我的特殊情况下,我不太理解这种方法。我的客户端应用程序是一个iOS移动应用程序,它使用JSON Web令牌进行身份验证。只有在检测到正确的令牌后,我的服务器才会将Spotify API的授权链接返回给客户端,从而允许用户授权我的应用程序因此,CSRF请求实际上是不可能的,对吗?
成功授权后,Spotify api调用预定义回调,将最初提供的状态
字段附加为URL查询项
我想知道我是否可以提供发出请求的帐户的用户id,以便成功回调包括对我数据库中用户帐户的引用,从而允许我的服务器将返回的访问和刷新令牌快速链接到它
但是,为状态
字段提供用户id不符合标准,因为它不是不透明的值
现在,我想咨询一下我是否应该使用STATE字段。如果是这样的话,我可以只插入当前帐户的用户id,因为这将简化我的工作,还是它必须是随机生成的值