这家医院符合以下OAuth要求意味着什么?
我们有一家医院作为客户,希望开发一个应用程序。此应用程序可能会使用各种验证方式,OAuth2就是其中之一。他们有一个需求清单,其中有一种让我困惑: 对于每个用户会话,应用程序都需要生成一个不可预测的 “状态参数”。应用程序需要验证的“状态值” 发送到重定向URL的每个请求;“国家”需要 记录所有授权请求;而“状态值”已经被定义为 要使用它接收的访问令牌进行验证 虽然他们没有特别提到它,我想这是关于OAuth的。我对OAuth2有一些经验。我知道什么是访问令牌和刷新令牌。但这个故事是我无法理解的。他们在谈论什么样的这家医院符合以下OAuth要求意味着什么?,oauth,oauth-2.0,Oauth,Oauth 2.0,我们有一家医院作为客户,希望开发一个应用程序。此应用程序可能会使用各种验证方式,OAuth2就是其中之一。他们有一个需求清单,其中有一种让我困惑: 对于每个用户会话,应用程序都需要生成一个不可预测的 “状态参数”。应用程序需要验证的“状态值” 发送到重定向URL的每个请求;“国家”需要 记录所有授权请求;而“状态值”已经被定义为 要使用它接收的访问令牌进行验证 虽然他们没有特别提到它,我想这是关于OAuth的。我对OAuth2有一些经验。我知道什么是访问令牌和刷新令牌。但这个故事是我无法理解的。
“状态参数”“状态值”有人能解释一下这个故事吗?这是关于OAuth 2.0在授权请求中定义的
状态 RECOMMENDED. An opaque value used by the client to maintain
state between the request and callback. The authorization
server includes this value when redirecting the user-agent back
to the client. The parameter SHOULD be used for preventing
cross-site request forgery as described in Section 10.12.
我相信他们选择了用自己的话编写OAuth2.0客户机应用程序需求。本规范规定: 客户端必须对其重定向URI实施CSRF保护。这通常是通过要求发送到重定向URI端点的任何请求包含将请求绑定到用户代理的已验证状态的值(例如,用于验证用户代理的会话cookie的散列)来实现的客户端在发出授权请求时,应利用“状态”请求参数将该值传递给授权服务器。 (强调我的,用英语阅读整个故事) 有关如何使用状态参数的详细指导方法,请参阅。本页提到Auth0,但对于任何其他符合OAuth 2.0的服务器,该过程都应该相同。还请注意,特定步骤假定基于浏览器的应用程序,因此将不可预测的状态参数存储在Web存储中。其他类型的客户会使用其他商店,但原则不变