SaveTokens = OpenIdConnect Middlewareの真の愚か？

Question

ハイブリッドまたは認証コードフローでアクセストークンを取得した後、ブラウザーからそれらを保持すると、（ASP.NETコア）OpenIdConnectミドルウェアでSaveTokens = trueを使用してブラウザに再び入ります。

ミドルウェアを使用してアクセストークンを格納するより良い方法はありますか？

Answer 1

SaveTokensを使用すると、ミドルウェアは、ユーザーの主張とともにクッキーにトークンを格納します。このクッキーはブラウザに保存されていても保護されているので、そのアプリケーションだけがそのCookieを読むことができます。ブラウザまたはクライアント側のコードは、Cookieを読み取ることができません。だから、彼らは実際に（暗黙のグラント・タイプを使用するように）ブラウザで終わるわけではありません。

それ以外の場合は、トークンストアを作成し、認証されたユーザーまたはセッションごとにトークンを検索する必要があります。

ASP.NETコアIDには、使用するユーザーのトークンを格納するためのテーブルがありますが、これはすべてのアプリケーションがASP.NET IDライブラリと統合され、トークンにアクセスできることを意味します。任意のアプリ。