实现oauth2的时候别忘了state参数

state参数是oauth2中防止CSRF攻击的参数，用法是：service web先生成一个纯随机的state nonce，把state存到local browser中（cookie），然后加到url中，direct to 第三方站点认证，根据oauth协议，第三方站点会redirect back回来，带有authenticate code和state，web比较cookie中的state和返回的state，两者必须一样，否则报错。