我需要在javascript中创建一个防伪状态令牌,并且我不能使用外部jar文件或Google API。有没有其他例子可以说明如何实现这一点,适用于OAuth 2.0 OpenConnect协议。
以下是创建防伪状态令牌的信息
如果我有足够的代表对此发表评论,我会。。。
您不能用Javascript生成一个随机/唯一的数字,将其与Google API请求一起发送,然后用Google在回调中返回的数字验证您最初生成的数字吗?这就是我对防伪代币的理解。或者,您可以使用AJAX GET生成令牌服务器端并在服务器端对其进行验证。只是一些想法,我从来没有真正尝试过,所以可能会有安全隐患。另请参阅此处(同源政策)。
您引用的Google示例用于生成令牌的方法是纯PHP——一个随机数的MD5哈希。您可能可以在Javascript中执行此操作。谷歌声明:
状态标记的一个好选择是30个左右字符的字符串使用高质量的随机数生成器构建。另一个是通过使用在后端保密的密钥。