Oauth 2.0 将OAuth2状态参数存储在javascript存储(cookie,本地存储)中是否安全?

Oauth 2.0 将OAuth2状态参数存储在javascript存储(cookie,本地存储)中是否安全?,oauth-2.0,Oauth 2.0,我有一个web应用程序,前端是javascript,后端是无状态的。 我需要通过OAuth2授权用户。当我将用户重定向到OAuth2提供程序时,我需要将状态参数绑定到请求以防止。当OAuth2提供者将用户重定向回我的应用程序时,我需要检查状态参数是否相同。我不能在后端存储状态参数,因为它是无状态的。将OAuth2状态参数存储在某些javascript存储中是否安全?SPA的常用技术是通过HTML5会话存储将状态参数存储在浏览器中,并在收到响应时将其删除。它只是一个不可用的值,每次重定向都会更改

我有一个web应用程序,前端是javascript,后端是无状态的。
我需要通过OAuth2授权用户。当我将用户重定向到OAuth2提供程序时,我需要将状态参数绑定到请求以防止。当OAuth2提供者将用户重定向回我的应用程序时,我需要检查状态参数是否相同。我不能在后端存储状态参数,因为它是无状态的。将OAuth2状态参数存储在某些javascript存储中是否安全?

SPA的常用技术是通过HTML5会话存储将状态参数存储在浏览器中,并在收到响应时将其删除。它只是一个不可用的值,每次重定向都会更改

几个相关链接:

出于兴趣,上述广泛使用的认证库使用此行为