使用 PKCE 时是否需要使用参考令牌?

【问题标题】:Is it needed to use reference tokens while using PKCE?使用 PKCE 时是否需要使用参考令牌?
【发布时间】:2020-09-27 21:24:32
【问题描述】:

我目前正在开发一个将 IdentityServer4 用作授权/身份验证服务器的项目。我们只有一个客户端 (Angular) 和一些基于资源的 API (ASP.NET Core)。 目前我们使用代码流 (PKCE) 并同时引用令牌,利用 IdentityServer4 提供的令牌自省端点。

同时使用 PKCE 和引用令牌是否过大?从 API 请求始终调用 IdentityServer4 的令牌自省端点会为收到的每个资源请求添加另一个请求。我们想知道使用引用令牌是否比仅使用带有普通访问令牌的 PKCE 能给我们带来任何安全优势。

谢谢!

【问题讨论】:

    标签: asp.net-core security token identityserver4 pkce


    【解决方案1】:

    PKCE 仅用于保护初始用户身份验证,之后不再涉及 PKCE,您将 PKCE 用于参考和普通 JWT 令牌。

    如果您担心额外查找请求的性能,那么您应该看看这个视频

    Improving JWT performance in ASP.NET Core webinar with Mentor - Marcin Hoppe

    【讨论】:

      猜你喜欢
      • 2015-11-10
      • 2019-12-29
      • 2017-01-01
      • 2023-02-26
      • 1970-01-01
      • 2021-12-17
      • 1970-01-01
      • 2021-02-22
      • 2021-01-09
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode