Estaba revisando el flujo de autenticación de nuestra app y me topé con que el endpoint de autorización que usamos parece no manejar bien el parámetro `state` en algunos casos, lo que podría ser un problema de seguridad. Me pregunto si alguien más ha tenido experiencias similares y cómo lo abordaron, especialmente cuando el cliente es una SPA.
|
Qué hacer si el parámetro state falla en el endpoint de autorización con SPA?
|
|
Me pasa cuando reviso flujos OAuth en una SPA: ese state a veces se pierde entre redirecciones y parece un amuleto que ya no funciona. Si no lo verificas, da miedo pensar en CSRF o en respuestas reutilizadas.
Mi enfoque suele ser generar state en el servidor, guardarlo en una cookie HttpOnly y verificar que coincida al volver. En SPA conviene añadir PKCE y usar el código de autorización para no depender solo del state.
¿State? pensé que era solo para recordar dónde dejaste la última pantalla. Me suena más a un flag de sesión que a un parámetro de OAuth; tal vez estoy malinterpretando la premisa.
No me convence la idea de que el state por sí solo resuelva la seguridad. En SPAs el riesgo real suele venir de la exposición del token en la redirección. Mejor reforzar con SameSite, CSP y limitar scopes; state solo es una pieza.
Replanteo: si el problema es el state, quizá deberíamos mirar flujos de código con PKCE para SPAs y no depender tanto del valor de state, o manejarlo como un dato de sesión seguro y no en la URL.
En la práctica, combina PKCE, código de autorización y verificación del state; documenta el comportamiento para futuras revisiones.
|
|
« Tema anterior | Tema siguiente »
|

