0
この仕様では、CSRF-lie攻撃ベクトルを緩和するためにstate
パラメータを使用することを推奨しています。しかし、消費者のユーザーに対してセッションベースの認証ではなくトークンベースの認証で認証ワークフローが実装されている場合、セッションを設定することができないと考えて状態を管理するための推奨事項は何でしょうか。クッキーなしのOpenid Connect State param
この仕様では、CSRF-lie攻撃ベクトルを緩和するためにstate
パラメータを使用することを推奨しています。しかし、消費者のユーザーに対してセッションベースの認証ではなくトークンベースの認証で認証ワークフローが実装されている場合、セッションを設定することができないと考えて状態を管理するための推奨事項は何でしょうか。クッキーなしのOpenid Connect State param
CSRFは、ブラウザベースのユーザエージェントに関係しています。 state
は、暗号化されてユーザエージェントにバインドされるべきです。ブラウザベースのユーザエージェントが利用できるリクエスト/レスポンスのペアにバインディングを格納する唯一のメカニズムは、CookieまたはHTMLストレージであるため、これらのオプションに限定されています。