Параметр state
предотвращает атаки CSRF в OAuth2.
Идея:
state
к запросу, который он делает для сервер аутентификации (в данном случае Facebook) state
обратно к вам в ответе . Это звучит бессмысленно ... но это не позволяет злоумышленникам совершать ваши запросы на действия с клиентом, которые он не инициировал.
Это подробно описывает это:
http://www.twobotechnologies.com/blog/2014/02/importance-of-state-in-oauth2.html
Spring Social обрабатывает все это для вас: генерирует новый случайный state
для каждого запроса и автоматически пытается сопоставить его с значением в ответе.
Таким образом, вы не можете запретите это :, и вы не хотите: это могут быть неудачные попытки атаки - и в этих случаях вы хотите выполнить эту ошибку.
[g1 4] Для случаев, которые вы опубликовали, может просто ошибочно обрабатывать параметр state
Spring Social или серверами аутентификации Facebook.
Но для вашего part, вы должны обрабатывать исключение, как если бы это была настоящая попытка атаки: предупреждения журнала / оповещения людей и т. д.