من در حال فكر كردن برای اجرای یك سرویس REST هستم كه نیاز به تماس با یك سرویس REST را دارد كه توسط OAuth2 محافظت می شود.

سرویس من "همیشه" توسط برنامه های وب سرور به سرور خوانده می شود.

کاربر با وب تعامل دارد.

تماس سرور به سرور به نمایندگی از کاربر معتبر اجرا می شود.

تنها مشکلی که من دارم "آدرس برگشتی" است که برای انتقال به سرویس شخص ثالث ضروری است: مرورگر در پایان مراحل مجوز OAuth2 به این URL هدایت می شود.
این URL به جای هر برنامه وب باید به سرویس من اشاره کند.

این بدان معنی است که مرورگر باید مستقیماً با آن "URL برگشت" تماس بگیرد.

سوال من این است: آیا به اندازه کافی ایمن است که از "حالت" استفاده کند ( برای محافظت از این URL به https://auth0.com/docs/protocols/oauth2/oauth-state) مراجعه کنید؟

آیا می توانید این URL باز باشد و فقط بررسی کنید که وضعیت تصویب شده معتبر است؟

اگر اینگونه نباشد؟ به اندازه کافی ، چه کاری می تواند برای برقراری این تماس بدون اجرای تأیید هویت کامل بین مرورگر و سرویس انجام شود؟