identityserver4 - SaveTokens = OpenIdConnect 中间件中的真傻？

Question

在使用混合或授权代码流获取访问 token 以使其远离浏览器后，在(ASP.NET Core)OpenIdConnect 中间件中使用 SaveTokens = true 以便它们再次出现在浏览器中似乎很愚蠢。

使用中间件存储访问 token 的更好方法是什么？

Answer 1

使用 SaveTokens中间件将 token 与用户声明一起存储在 cookie 中。虽然此 cookie 可能存储在浏览器中，但它受到保护，因此只有该应用程序可以读取它。浏览器或客户端代码无法读取 cookie。所以他们并没有真正结束在浏览器中(就像他们使用隐式授权类型一样)。

否则，您需要做的是创建一个 token 存储，通过经过身份验证的用户或 session 查找 token 。

ASP.NET Core Identity 有一个表，用于为您可以考虑使用的用户存储 token ，但这意味着您的所有应用程序都必须与 ASP.NET Identity 库集成，并且任何应用程序都可以访问 token 。