- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
TL;博士 - 标题:)
背景故事:
我正在构建一组应用程序(包括 RESTful API 和几个客户端 - 纯 Web 应用程序和移动应用程序)。
所有核心 API 都将写入 ASP.NET Core
.
我想解决身份验证授权问题。
我不想使用云或外部服务,因为关闭所有用户相关数据是我的首要任务(包括密码)。
从我读到的,似乎是 ASP.NET Core Identity
提供与所需的身份验证和授权相关的所有功能和流程。我可以自己管理整个用户群,包括散列密码以及与用户相关的所有数据。它是抽象和具体的集合(如果需要,我可以扩展)。
我还读到我可以与 IdentityServer 4
集成.据我了解,它为我提供了额外的安全层,我可以将其用作安全 token 服务 (STS),并为我提供 OAuth 2.0 授权和 OpenID 身份验证的实现,这很棒,但是.. . 是吗?我只是想了解使用它有什么好处。
我的问题有两部分:
最佳答案
好吧,如果现在还不明显:您无法使用 ASP.NET Core Identity 创建 jwt/bearer token 。
ASP.NET Core Identity 使用 cookie 中间件,它有一些缺点。使用授权中间件,您可以使用不记名/jwt token ,但您不能创建自己的 token 。这就是 ASOS 和 Identity4 缩小差距的地方。
使用 cookie 有几个缺点,包括它通常生命周期很长,而 JWT token 的生命周期通常很短(5 到 10 分钟)并且通过身份 token 刷新。
因此,万一有人通过窃听流量获得了不记名 token , token 的有效期很短,攻击者无法在没有 id token 的情况下刷新它。
其次,cookie 更容易受到 XSS 的攻击,而承载 token 是按请求发送的,并且只容易受到 XSRF 的攻击,而 XSRF 可以更容易地通过 AntiForgery token 进行保护。另见此 answer关于安全堆栈交换。
关于authentication - 将 IdentityServer 4 与 ASP.NET Core Identity 一起使用的附加值(value)是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42537571/
我在此选择中有一堆选项,每个选项都有值,例如: context|cow context|test thing|1 thing|5 thing|27 context|beans 在循环选项时,我想构建一
我是一个 JavaScript 菜鸟。我一直在用谷歌搜索互联网,但没有答案对我有帮助。我有一个数据库 ID,必须以模式形式作为隐藏值发送。 echo "".$bl_total['id'].""; *
我正在尝试编写一种方法,根据用户输入一次更改 ArrayList 中所有对象的值。用户通过对话框输入一个值,然后将其转换为整数并分配给一个值。 该列表称为studentList,并用Student 对
所以我已经阅读了有关 ajax 的回调和异步行为的内容,但我不知道如何从 ajax 的附加值创建事件。 我有这个 html : var searchRequest = null; $(function
有两个表,report 和reportcomment。每个报告评论(通过外键)分配给一个报告,因此一个报告有零到多个报告评论。 如果我需要一个列表,它为我提供了所有报告以及每个报告的相应评论数量,我将
从下面的两个文件中,我得到了输出 (2000)1 但它应该只有 (2000) 在使用 curl 获取值后附加了额外的 1,但为什么呢? balance.php user_balance.php 最
我是一名优秀的程序员,十分优秀!