oauth2
を使ってapiを利用するラッパーライブラリを作成中です。
oauth2では認証ページからリダイレクトされるときに、state
がそのまま返却されるので
CSRF対策をしようと思ったのですが、どのようにさせるのがいいのか悩んでいます。
例えば
lang
1public function setState($state) { 2 session_start(); 3 $_SESSION['mylibrariname_State'] = $state; 4}
と認証ページに移動する前に、セッション変数に保存しておき
lang
1public function validState() 2{ 3 if(isset($_GET['state'] && $_GET['state']===$_SESSION['mylibrariname_State']) { 4 return true; 5 } 6 7 return false; 8}
と、ライブラリ内でセッション変数を設定したり参照したりするのは
ライブラリの作りとしていいものなのでしょうか?
(この例では、GET
のパラメータもライブラリ内で取得していますが…これもありなのかな?)
セッション変数を使わずに、ライブラリ内でCSRF対策を行う方法が思い浮かばなかったのですが、セッション変数はライブラリ外からも参照できるので、やっていいものなのか迷っています。
何かご意見がありましたら、よろしくおねがいします。
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2014/12/31 03:48