Facebook의 서버 쪽 로그인 프로세스에서 그 내용이 the server should provide a 'state' variable during the request to Facebook입니다. Facebook이 로그인 콜백 페이지로 돌아가서 우리 서버가 확인할 수 있도록하는 CSRF 토큰처럼 작동합니다.Facebook 로그인에 상태 변수가 필요한 이유
그러나 이것이 왜 필요한지 잘 모르겠습니다. 가짜 로그인 요청을 받으면 로그인 요청의 ?code=
을 사용하여 Facebook에서 access_token을 가져와야합니다. 가짜 요청은 올바른 code
을 가지지 않으므로 올바르게 작동하지 않습니다.
또한 사용자는 Facebook App의 링크를 통해 Google 서버에 액세스 할 수 있습니다. Facebook은 링크에 ?code=
매개 변수를 자동으로 추가합니다. 이 추천에서 제공 한 code
을 사용하려면 확인을 위해 state
매개 변수가 없어야하며 Facebook도 문제를 신경 쓰지 않는 것 같습니다.
state
은 선택 사항입니까? 정말로 추가적인 보안 기능을 제공합니까?
아주 좋은 설명 - 감사합니다. –