4
여러 Google 서비스에 대해 Google OAuth2 로그인을 두 번 구현했지만 세션 토큰이 포함되지 않은 경우 상태 토큰이 남용 될 수있는 방법에 대해서는 절대로 생각하지 않았습니다.Google OAuth 상태 토큰은 실제로 어떤 CSRF를 방지합니까?
CSRF의 원칙을 이해하고 있으며 https://developers.google.com/accounts/docs/OAuth2Login (상태 토큰의 세션 토큰 포함)에 설명 된대로 OAuth2 플로우를 구현했습니다. 세션 토큰이 아닌 경우 공격자가이를 악용 할 수있는 방법을 알 수 없습니다. 선물.
Google 동의 페이지에서 성공적으로 응답 한 후 수행 한 작업과 관련이있을 수 있습니다 (새로 고침 + 액세스 토큰을 얻은 다음이를 상태 토큰에 지정된 사용자에게 저장하고 상태 토큰에도 지정된 다른 페이지로 리디렉션) ,하지만 그렇지 않으면 어떻게 문제가됩니까?