Я использую библиотеку PHP для OAuth2.0 v20
В проекте20 есть упоминание об использовании состояния для предотвращения CSRF
До сих пор мое собственное веб-приложение, которое реализует эту библиотеку PHP, позволяет:
- трехсторонняя аутентификация с использованием запроса кода авторизации
- двухсторонняя аутентификация с использованием ресурса Credentials Credentials
- Запрос, который обновляет токен доступа
Нужно ли использовать состояние для всех трех ситуаций выше?
Если да, то что является хорошим примером "состояния"?
что делает хорошее "состояние"?
Любая идеальная длина? Любая минимальная длина? Любая максимальная длина?
Любой идеальный макияж? буквенно-цифровой, включая верхний регистр?