Поток Oauth2/проверка состояния с конечной точкой перенаправления на стороне интерфейса ⇐ Python

[Anonymous]

У меня вопрос относительно потока oauth2. Я использую python/fastapi и реализовал поток oauth2, где конечная точка перенаправления находится на внешней стороне, поскольку серверная часть недоступна извне. Поток выглядит следующим образом

• FE отправляет запрос на вход в BE
• BE, генерирует состояние в request.session и перенаправляет запрос к поставщику удостоверений
• IDP проверяет введенные данные и перенаправляет запрос на заданный URL-адрес перенаправления
• FE получает код аутентификации и состояние и отправляет запрос авторизации на BE
• BE проверяет состояние И ВОТ ПРОБЛЕМА, он получает новый сеанс, BANG, не может проверить полученный ввод.
• Проверка токена доступа....

FE использует реакцию js, просто получает код и состояние от IDP и пересылает их. В чем может быть проблема? Должен ли интерфейс обрабатывать запрос таким образом, чтобы не потерять сеанс, или, возможно, request.session не является хорошим выбором (реализация библиотеки oauth2 делает то же самое).
Я был тестируем его локально, поэтому сброс сеанса в другом домене не должен иметь место. Он работал без конечной точки перенаправления, когда URL-адрес перенаправления был на BE.

Подробнее здесь: https://stackoverflow.com/questions/792 ... ntend-side