第三方登录(扫码登录)如何自定义state值

mingyoung / dingtalk

[已停止维护]

MIT License

562 stars 115 forks source link

Closed nilsir closed 4 years ago

mingyoung commented 4 years ago

为何要自定义 state 值呢？state 用于防止 CSRF 攻击，由服务端随机生成的

nilsir commented 4 years ago

为何要自定义 state 值呢？state 用于防止 CSRF 攻击，由服务端随机生成的

用于扫码回调后跳转到不同的业务域名, 想做成Cache::put($stateKey, $stateVal, $time);这种在回调的时候同样回去验证$stateKey是否存在, 如果存在, 那么就继续逻辑, 在登录自己的服务后, 删除这个state, url地址上只暴露$stateKey

mingyoung commented 4 years ago

建议你在 URL 上加上其他参数，也没必要要用 state 来判断：如 example.com?foo=bar