是否可以在没有 cookie 的情况下进行隐式流身份验证?

【问题标题】:Is it possible to have Implicit flow authentication without cookies?是否可以在没有 cookie 的情况下进行隐式流身份验证?
【发布时间】:2019-03-30 23:45:25
【问题描述】:

我正在开发同时使用 ID Server 3/4 的 .NET Framework 和 .NET Core 的项目(当然也分别使用 ID Server 3/4),并且我已经了解隐式流程及其对 Javascript 客户端的工作方式。我确实注意到它使用了 cookie,我认为这就是为什么会发生很多重定向等等。

但事后看来,这让我想知道如果我们当时知道隐式流但不使用 cookie 并且仅依赖会话存储,那么以前的项目是否会更好。那有可能吗?

【问题讨论】:

    标签: cookies identityserver4 identityserver3 implicit-flow


    【解决方案1】:

    使用隐式流并不意味着您必须使用 cookie 来存储用户数据/令牌。

    是的,对于隐式客户端,您可以将令牌存储在会话存储中。这是 oidc-client 等流行客户端库的默认设置。

    请注意,通过这种方法,用户数据和令牌对浏览器、用户和您网站中运行的任何其他 JS 都是可见的。

    【讨论】:

    • 您是否有一个链接可以解释如何配置两者? (谢谢你的回复,顺便说一句)
    • 我有一篇关于在 Angular 中使用 oidc-client 的文章:scottbrady91.com/Angular/… 或一个用户组就同一主题进行讨论,更详细地介绍了隐式流程:scottbrady91.com/Angular/…
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2013-02-24
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2016-07-30
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode