- それはthis noteを持って確認アイデンティティのセクションで:あなたもあなた自身の状態パラメータを生成し、CSRF保護を提供するために、あなたのログイン要求とそれを使用することができますFacebookの手動ログインフローで使用される状態パラメータは何ですか? OAuth認証APIのFB開発者ドキュメントで
注意。
これの背後にある意味を正確に明確にすることができますか?私は1つを生成したとしても、どのように状態パラメータを使用するのですか?それを認証リクエストURLの一部としてエンコードしますか?もし私がそれをしたとしても、それはどんな目的に役立ちますか?
私はそれを認証リクエストURLの一部としてエンコードしますか?
はい。また、このドキュメントにはURLエンコードされたオプションのパラメータとしてhereが記載されています。
あなたが提供する価値は、Facebookが返すリダイレクト応答のURLに含まれます。したがって、サーバーに価値を渡すことができます。
私がそれを行ったとしても、どんな目的がありますか?
あなたのアプリとサーバーの間に値が渡されるだけなので、何かがあれば何かを決定するのはあなた次第です。上記の例はCSRF protectionです。独自のトークンを状態パラメータとして含めることで、悪意のあるサイトではなく、サーバーからの呼び出しがアプリケーションから取得されるようにすることができます。
(私は要件は、ほとんどの攻撃ベクトルを持つ認証コードまたはアクセストークン取引を検証するため、これは広く、しかし、使用されているとは思わない。)FBRLH_statesessionが設定されていないので、たまたまだ
。
<?php
session_start();
$_SESSION['FBRLH_state'] = $_GET['state'];
...