为公共客户端使用 cookie 保护 Web API 的陷阱

【问题标题】:Pitfalls of securing web APIs with cookie for public clients为公共客户端使用 cookie 保护 Web API 的陷阱
【发布时间】:2021-09-13 11:29:28
【问题描述】:

我正在为公共 JS 客户端在我的 asp.net core rest web api 中实现 oidc/pkce 隐式授权流程。

我几乎明白这是如何工作的,但我无法完全理解另一种方法的最大问题是什么 - 如果我要使用 ASP Identity 提供的默认 cookie(或会话)身份验证。

我发现很难用谷歌搜索这个主题。能否请教一些文章的提示/指点?

【问题讨论】:

    标签: rest security authorization openid-connect webapi


    【解决方案1】:

    仍然使用普通的 cookie 身份验证,即使您使用基于令牌的身份验证。

    OpenIDConnect 客户端收到最终令牌后,默认会创建一个包含用户详细信息和声明的经典会话令牌。或者,您还可以在此 cookie 中存储 ID/访问/刷新令牌。

    cookie 已加密,因此不会被篡改或黑客攻击。

    使用 OpenIDConnect 的好处是当您涉及多个客户端和/或 API 并且您需要一种标准化的方式来处理此问题时。对许多不同的服务使用普通的 cookie 方法很难保证安全。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2010-09-14
      • 2020-03-28
      • 2019-05-11
      • 2012-09-02
      • 1970-01-01
      • 2020-11-20
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode