2017-01-30 2 views
0

ハイブリッドまたは認証コードフローでアクセストークンを取得した後、ブラウザーからそれらを保持すると、(ASP.NETコア)OpenIdConnectミドルウェアでSaveTokens = trueを使用してブラウザに再び入ります。SaveTokens = OpenIdConnect Middlewareの真の愚か?

ミドルウェアを使用してアクセストークンを格納するより良い方法はありますか?

答えて

0

SaveTokensを使用すると、ミドルウェアは、ユーザーの主張とともにクッキーにトークンを格納します。このクッキーはブラウザに保存されていても保護されているので、そのアプリケーションだけがそのCookieを読むことができます。ブラウザまたはクライアント側のコードは、Cookieを読み取ることができません。だから、彼らは実際に(暗黙のグラント・タイプを使用するように)ブラウザで終わるわけではありません。

それ以外の場合は、トークンストアを作成し、認証されたユーザーまたはセッションごとにトークンを検索する必要があります。

ASP.NETコアIDには、使用するユーザーのトークンを格納するためのテーブルがありますが、これはすべてのアプリケーションがASP.NET IDライブラリと統合され、トークンにアクセスできることを意味します。任意のアプリ。

+0

また、チケットキャッシュをCookie MWに実装して、すべてのデータをサーバーに保存することもできます。 – leastprivilege

+0

私は、Dominick Baierが(このビデオの46:10マークの周りに)https://www.youtube.com/watch?v=YXdJ2HLAOdE ... NDC 2017 London IdentityServer4のプレゼンテーションで、SaveTokens = Trueを設定すると良いとは言いませんクッキーがあまりにも大きくなってしまう他の理由のためのアイデア。 ...そして、今私はそれを考えて...彼は少なくとも恩恵を受けていないのですか? – Wellspring

関連する問題