SESSION中的身份验证可以在没有状态的情况下工作吗？ [英] Will the auth work without state at the SESSION?

问题描述

我看到了类似的问题 Facebook身份验证示例CSRF ，他们说哈希（或状态）是由您针对对Web服务（Facebook）的每个请求生成的，并存储在服务器的会话中。此哈希值与请求一起从您的网站发送给Facebook。Facebook将完全相同的哈希值作为响应中的参数发送回。

这是否意味着在SESSION上没有状态，验证将不起作用？

I saw similar question Facebook Authentication Example CSRF and they say "The hash (or state) is generated by you for each request to the web service (Facebook) and stored in the session on your server. This hash is sent with the request to Facebook from your website. Facebook sends the exact same hash back as a parameter on the response."

Does it mean that without state at the SESSION the auth won't work?

推荐答案

几个月前，我进行了这种登录。如果没有它，它可能会起作用，但是使用该方法进行CSRF保护绝对必要。

A few months ago i made this type of login. It may probably work without it, but it is ABSOLUTELY NECESSARY to use that method for CSRF protection.

这篇关于SESSION中的身份验证可以在没有状态的情况下工作吗？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！