0
この仕様では、CSRF-lie攻撃ベクトルを緩和するためにstateパラメータを使用することを推奨しています。しかし、消費者のユーザーに対してセッションベースの認証ではなくトークンベースの認証で認証ワークフローが実装されている場合、セッションを設定することができないと考えて状態を管理するための推奨事項は何でしょうか。クッキーなしのOpenid Connect State param
A
答えて
0
CSRFは、ブラウザベースのユーザエージェントに関係しています。 stateは、暗号化されてユーザエージェントにバインドされるべきです。ブラウザベースのユーザエージェントが利用できるリクエスト/レスポンスのペアにバインディングを格納する唯一のメカニズムは、CookieまたはHTMLストレージであるため、これらのオプションに限定されています。
関連する問題
- 1. OpenID Connectサーバー。
- 2. OpenID Connectインテグリル
- 3. openid connect in identityserver4
- 4. OpenID Connect over ADFS
- 5. SignalRとOpenId Connect
- 6. Keycloak、openId-connect userInfo
- 7. PayPal OpenId Connectサンドボックスメタデータアドレス
- 8. OneLogin OIDC OpenID-Connect
- 9. Drupal 8 OpenID Connectが動作しない
- 10. OAuth 2.0とOpenID Connect
- 11. OpenID Connect軽量ライブラリ
- 12. Passport-OpenID Connect設定
- 13. 自分のOpenID Connectプロバイダ(オープンソース)
- 14. OpenID connect Azureでのサインアウトリクエスト
- 15. .NETのリダイレクトOpenID Connectミドルウェア?
- 16. OpenID Connect暗黙のフローリソースサーバ
- 17. c#用のOpenID Connectライブラリ(.NET)
- 18. OpenIdへの接続connect
- 19. OpenId Connectでのクレームベース認証
- 20. SPA OpenID Connectセキュリティの問題
- 21. WSO2 Identity Server OpenId Connect Owin
- 22. OpenID Connectウェブフィンガーエンドポイントは、OpenID Connectプロバイダーに対するユーザーアカウントのマップですか?
- 23. Spring SecurityとOpenID Connect(OIDC)
- 24. IdentityServer4/OpenId Connect、ハイブリッドモード、トークンリフレッシュ失敗
- 25. OAuth 2.0 OpenID Connectループバックとキークローキング
- 26. OpenID Connect with Spring Security 3.x.x
- 27. OpenID Connect ASP NET MVC AAD
- 28. Google認証:OAuth2.0とOpenID Connect
- 29. OpenID ConnectのOWINミドルウェア - コードフロー(フロータイプ - AuthorizationCode)のドキュメント?
- 30. OpenID Connectでのユーザマッピング依頼者