1回答
我目前正在做一个项目,其中IdentityServer4被用作授权/认证服务器。我们只有一个客户端(Angular)和几个基于资源的API (ASP.NET核心)。目前,我们使用代码流(PKCE),同时引用令牌,利用IdentityServer4提供的令牌内省端点。 同时使用PKCE和引用令牌是不是有点过分了?从API中请求始终调用IdentityServer4的令牌自检端点会向接收到的每个资源请求添加另一个请求。我们想知道使用引用令
浏览 23提问于2020-09-28得票数 1
回答已采纳
我们使用IdentityServer4("")来保护我们的API,实际上我们有多个API,我们想用IdentityServer4来保护这些API(即通过生成访问令牌),但是我们有关于验证访问令牌的问题,我们需要为验证IdentityServer4的访问令牌创建单独的身份验证服务器吗?
浏览 1提问于2018-02-27得票数 0
我正在通过IdentityServer4发布的AccessToken实现一个受保护的api。现在我的问题是,当我从我的客户机调用头中有Bearer令牌的API时,是否有可能恢复这个值并通过调用内省endopint来验证它?没有像这样的key的自我验证: services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) options.Token
浏览 23提问于2021-07-28得票数 0
没有为IdentityServer4应用编程接口资源定义密钥是否会引入安全漏洞?我对自检终结点、何时使用它以及是否有人可以使用自检终结点绕过授权并访问没有定义秘密的API (通过仅将API名称作为参数的POST )感到有点困惑。
这个是可能的吗?或者,自检端点是否仅通过使用客户端凭据Grant之类的已定义客户端进行授权?
浏览 0提问于2017-12-15得票数 2
1回答
服务器A将对用户进行身份验证并生成令牌。现在在服务器B上,我如何检查令牌是否有效?我是否必须每次都通过服务器A来检查有效令牌?
是否必须将令牌与到期日期一起保存在服务器B中,并检查服务器B上的验证
浏览 4提问于2017-02-11得票数 0
我有一个外部端点,它将访问Azure网关,并将其路由到受IdentityServer4授权保护的后端API。如果我通过IdentityServer的交互式UI通过邮递员客户端访问它,我就会得到访问令牌。是否有一种方法可以从Azure管理获得访问令牌,以便对IdentityServer4进行验证并将其附加到请求中的头到后端API?
浏览 1提问于2018-08-01得票数 2
回答已采纳
我在本地主机上设置了一个IdentityServer4实例。我从ui示例屏幕登录,没有选中记住我的登录。然后,我重新启动服务器,但我仍然登录。IS4依赖于什么来检索会话/用户数据?
浏览 1提问于2018-07-12得票数 0
有了这一点,我确信我的jwt令牌得到了正确的验证,但对于某些端点来说,实际上只是想获取JWT令牌并获取sub值。} } }我这里唯一的问题是jwt令牌没有经过验证,所以我猜“坏人”可能会和有效的to日期时间混在一起,并不断延长令牌的生命周期。我想知道的是:有没有一种方法可以验证令牌?我知道JwtSecurityT
浏览 3提问于2019-12-20得票数 1
在IdentityServer4中的登录操作中,我多次调用Web。同样适用于密码重置操作,这是我添加到IdentityServer4项目的自定义代码。那么,当用户尚未通过OIDC进行身份验证时,我应该如何保护我的ASP.NET核心Web,这意味着在那个阶段也不存在任何访问令牌。我只允许IdentityServer4调用这些Web方法,而不是运行不受保护的Web。
有什么建议吗?
浏览 0提问于2017-09-06得票数 1
回答已采纳
3回答
标识服务器4签名-令牌生存期
、、、、
我想知道的是,在用户签名之后,令牌生命周期的预期行为是什么。考虑以下情况:
await _loginManager.LoggOffAsync(HttpContext.User);另外,如果我访问
浏览 5提问于2019-03-02得票数 0
回答已采纳
我一直在研究安全方面的问题,特别是基于令牌的安全。我查看了IdentityServer,发现它的学习曲线对像我这样的新手来说有点令人沮丧。我有现有的数据库和现有的用户和角色表。我不使用标识提供的默认表,
浏览 1提问于2016-06-14得票数 5
2回答
我有一个应用程序,其中使用IdentityServer4完成身份验证,并将Azure作为OpenID提供程序。IdentityServer4托管在Azure应用程序服务中。在成功的身份验证之后,我能够在access应用程序中获得访问令牌。访问令牌被传递给基于.Net核心的RESTful API,该API托管在Azure函数3.x中。在我的Azure函数中,我想获取用户信息和其他声明,而不触及IdentityServer4的端点&quo
浏览 10提问于2020-08-25得票数 0
回答已采纳
1回答
我已经站了一个identityserver4实例、一个API项目和一个UI。
当用户需要在站点内做一些事情时,令牌通过
浏览 4提问于2016-10-17得票数 2
我有一个SPA应用程序,它使用IdentityServer4 ROPC flow进行身份验证,并使用此示例中的访问和刷新令牌。我每隔15分钟更新一次refresh_token,以获得一对新的刷新和访问令牌。但是,如果我重新启动IdentityServer4应用程序,在重新启动之前发出的旧refresh_tokens将不再有效。如何修复它?我怀疑我应该实现一些接口来存储发布的刷新令牌?
浏览 7提问于2017-06-05得票数 1
回答已采纳
我有一个身份服务器,它是使用IdentityServer4构建的。 "php.es.api" });
从.NET应用程序中,我可以通过调用作用域为"php.es.api“的RequestClientCredentialsAsync方法轻松地获取访问<
浏览 8提问于2016-12-30得票数 1
回答已采纳
1回答
我已经在我们的WebAPI应用程序中实现了基于OAuth令牌的身份验证,并根据数据库验证用户名和密码。但我们不会将访问令牌和刷新令牌同步到任何类型的数据库。这是代码,但是,我有一个问题,令牌值存储在哪里。下面是生成令牌的代码 /// Grant resource owner credentials overload m
浏览 1提问于2019-09-22得票数 0
2回答
然而,对于我想要在资源服务器端验证OpenId JWT令牌以使其无状态的情况,我有点头疼。如果用户尝试注销,授权服务器将知道用户注销(相应的OpenId连接会话管理规范)。但是授权服务器应该如何告诉资源服务器用户的令牌不再有效呢?这是指用户注销后使用其OpenId令牌访问资源服务器并获得访问权限的情况。这很奇怪,我在互联网上找不到任何解决方案。
浏览 0提问于2016-06-02得票数 1
我们使用IdentityServer4来保护我们的API,实际上我们有多个API,我们想用IdentityServer4来保护这些API(即通过生成访问令牌),但是我们有关于验证访问令牌的问题,我们需要在每个
浏览 0提问于2018-02-27得票数 3
在asp.net核心中,我使用addCookies()方法,但是is4返回jwt令牌,当我使用cookies时,为什么会有jwt?
浏览 4提问于2022-09-06得票数 1
回答已采纳
我很难理解ASP.NET核心身份验证是如何工作的。
我希望使用刷新令牌实现JWT访问令牌身份验证。据我所知,这是验证客户端(移动应用程序、SPA Web应用程序)的行业标准。然而,IdentityServer4在很大程度上是基于OAuth的,我不确定这如何与SPA应用程序和移动应用程序(我信任的客户端)一起工作。Facebook提供了本地移动SDK来处理这种类型的身份验证,它返回一个访问令牌
浏览 14提问于2018-12-09得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
