状态参数

范围参数不用于保护身份验证请求免受 CSRF 攻击（见下文）。但是还有另一个参数称为“状态”，它与您的描述相匹配。

[询问用户]

这一步不能跳过。

恐怕，这个假设是不正确的。很常见的是，当用户第一次使用客户端应用程序时，他只会被要求获得许可。之后，服务器会记住客户端应用程序并自动授予访问权限。

确实，规范说

[The] 授权服务器对资源所有者进行身份验证并获得授权决定（通过询问资源所有者或通过其他方式建立批准）。

其他方式可能包括应用程序受服务器信任（例如，由同一公司拥有）或用户的决定被保存。

因此，在没有状态参数的情况下，攻击者可以欺骗用户登录应用程序，该应用程序原则上为用户所知或服务器普遍信任。

范围参数

scope 参数用于指示客户端请求的权限列表：

授权和令牌端点允许客户端使用“范围”请求参数指定访问请求的范围。

例如，社交网络的权限可能包括：

post_to_my_wall  send_notification  post_to_my_friends_wall  read_my_age

范围参数的值表示为空格分隔、区分大小写的字符串列表。字符串由授权服务器定义。

服务器可能会提供所有请求的权限或修改后的列表（例如，因为用户拒绝了某些权限）：

如果颁发的访问令牌范围与客户端请求的范围不同，授权服务器必须包含“范围”响应参数以通知客户端实际授予的范围。

来源：https ://datatracker.ietf.org/doc/html/draft-ietf-oauth-v2-30#section-3.3

（答案是基于 OP 的意思是谈论“状态”而不是“范围”的假设）

我不认为“状态”参数是一种安全功能。它只是一个参数，消费者可以使用它来放置一些它想要在授权流程完成后检索的数据。

这在消费者无法自行维护状态（无状态客户端，非基于会话等）的情况下很有用。由于授权流程涉及将用户浏览器重定向到提供程序，因此客户端可能会忘记用户在触发身份验证流程时所在的页面（或用户尝试执行的操作）。

通过在状态参数中传递该信息，客户端将在自动化流程之后将其取回，并可以将用户重定向到例如适当的位置。