如何在不使用Google的情况下创建防伪造状态令牌？

Question

我需要在javascript中创建一个防伪造状态令牌，我不能使用外部jar文件或Google。还有其他例子说明如何完成OAuth 2.0 OpenConnect协议的工作。

这里是用来创建防伪状态令牌的信息。

Answer 1

如果我有足够的代表来发表评论的话.

您不能用Javascript生成一个随机/唯一的数字，将其与Google请求一起发送，然后用Google在回调中返回的数字验证最初生成的数字吗？这就是我对防伪令牌的理解。或者您可以使用AJAX GET来生成令牌服务器端并验证它的服务器端。只是一些想法，我从来没有真正尝试过这些，所以可能有安全方面的影响。还请参阅这里 (同源策略)。

引用的谷歌示例用于生成令牌的方法是纯PHP --一个随机数的MD5散列。你也许可以在Javascript中做到这一点。谷歌称：

状态令牌的一个很好的选择是使用高质量的随机数生成器构造大约30个字符的字符串。另一个是通过使用在后端保密的密钥对一些会话状态变量签名生成的散列。