asp.net-core - 当 ShowPii 设置为 true 时，IdentityModel 会记录哪些信息？

Question

IdentityModelEventSource有一个名为 ShowPII 的属性这意味着个人身份信息将被添加到日志中(与安全相关)。此值用于决定何时记录某些 OAuth2 敏感数据。
我试图了解将记录什么样的个人身份信息:

客户身份？ (又名客户端 key ，消费者 key )

客户 secret ？ (又名消费者 secret )

Json 网络 token ？ (又名 JWT)

访问 token ？

刷新 token ？

Kerberos 票证？

PKCE 值？

授权码？

我知道它无法访问用户名和密码，因为它们只能直接与 IDP 交换。
但是我需要知道我是否需要找到一种方法来锁定我的日志文件，因为它会包含构成安全漏洞的数据。

Answer 1

这是 IdentityModel 可能的日志消息:LogMessages.cs
关于

I am trying to understand what kind of Personally Identifiable Information will be logged

我不会从那里复制粘贴日志消息(特别是，因为它们可以随时更改)。您可以自己检查它们并决定哪些应该被视为 PII。
但这里有一个有趣的例子:

"IDX10615: Encryption failed. No support for: Algorithm: '{0}', SecurityKey: '{1}'."

和 this是如何使用的:

throw LogHelper.LogExceptionMessage(new SecurityTokenEncryptionFailedException(LogHelper.FormatInvariant(TokenLogMessages.IDX10615, encryptingCredentials.Enc, encryptingCredentials.Key)));

如果你沿着轨道走，你会发现 encryptingCredentials.Key如果 ShowPII = true 将被记录如果 ShowPII = false 则不会被记录.
当然，根据您的用例，此特定消息可能永远不会出现在您的日志中。并不是所有的消息都如此惊人地泄露。但你永远不知道:

您的用例可能会改变

您可能会误解 IdentityModel 可以为您的用例发出的一组消息

IdentityModel 代码可能会更改，您可能会忘记检查消息集是否仍然安全

那么关于

if I need to find a way to lock down my log files

是的，你绝对需要。
或者更好 - 不要使用 ShowPII = true在生产中用于监控，仅在开发环境中用于调试目的。