0
openid仕様によると、暗黙的な許可は適切なjavascriptおよびモバイルアプリケーションであり、認証コード付与と比べると安全性が低くなります。言い換えると;私が理解する限り、それはaspnet mvcのようなサーバーベースのアプリケーションのために推奨されていません。Identity Server 3暗黙的な許可(mvcアプリケーション)
暗黙の流れは、主に、スクリプト言語
を使用してブラウザ に実装されたクライアントによって使用されている。しかし、私は(例:https://github.com/IdentityServer/IdentityServer3.Samples/tree/master/source/MVC%20Authentication/EmbeddedMvc)MVCアプリケーションとの暗黙の補助金を使っていくつかの例を見てきました。だから私は混乱している。
mvcアプリケーション(特にsso目的)の暗黙的な許可を使用して正しい(安全な)のですか?
そうでない場合、認証コードの流れを処理するmvcクライアントアプリケーションのためのowinミドルウェアはありますか?
私の目的は、mvcアプリケーションを認証するだけです、答えは満足です。しかし、限り、私は暗黙のフローのアイデンティティサーバーと知っているとして、ハッシュの断片で直接ブラウザにトークンを送信します。暗黙的な許可でmvcクライアントのサンプルを試してみると、そのブラウザがクッキーを設定するためのmvcクライアントアプリケーションにトークンをすぐに送信するのが分かります。どうしたの? –
どうしますか? –
ユーザー認証後にIDサーバーがブラウザからクライアントアプリケーションにリダイレクトする仕組みを理解できませんでした。 –