ASP NET Core 中的 OpenID Connect 安全注意事项
[英]OpenID Connect security considerations in ASP NET Core
问题描述
我正在查看OpenIdConnectHandler https://github.com/dotnet/aspnetcore/blob/main/src/Security/Authentication/OpenIdConnect/src/OpenIdConnectHandler.cs用作 ASP NET Core 中的身份验证处理程序,我看到一些奇怪的(至于我)的做法。
首先,它看起来 state 它只是加密的AuthenticationProperties的字节(第 252 行)。 此外,在设置(另一个?) state 之前生成 CorrelationId(可能相当于状态),并且相关 id 值为“N”。 这对我来说没有意义。
其次,带有 nonce 的 cookie 的值也等于“N”。
为什么这些值在 cookie 名称中而不是在其值中? 以及未来授权重定向中的state参数是什么? 毕竟,它们不能是加密的 AuthenticationProperties 中的字节,我认为它们不是加密随机的。 我完全不明白这段代码,它实际上是如何工作的?
1 个解决方案
解决方案1
0 2022-09-26 18:15:31
state 参数允许客户端(处理程序)设置自定义数据容器并将其作为 state 参数在初始身份验证请求中传递。
然后客户端将收到此 state 数据以及授权码。
客户端应验证发送的 state 是否与接收的 state 匹配。 state 可以在这里用于传递一些客户想要在身份验证阶段记住的自定义“状态”。
ASP .NET Core 2.0 - OpenId Connect Auth:相关错误
[英]ASP .NET Core 2.0 - OpenId Connect Auth : Correlation error
ASP.NET 使用外部 OpenID Connect 提供程序进行核心认证/授权
[英]ASP.NET Core authentication/authorization with external OpenID Connect provider
net.core / asp.net 身份 / openid 连接中的关联失败
[英]Correlation failed in net.core / asp.net identity / openid connect
.Net Core 2 OpenID Connect身份验证和多个身份
[英].Net Core 2 OpenID Connect Authentication and multiple Identities
ASP .NET Core OpenID Connect - 在外部登录后发布我自己的 cookie?
[英]ASP .NET Core OpenID Connect - Issuing my own cookie after external login?
外部注销后如何重定向到设置注销页面(openid Connect)Asp net core 3.1
[英]How to redirect to set logout page after external logout (openid Connect ) Asp net core 3.1
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
ASP.NET核心WebAPI安全注意事项
将 OpenID Connect 用户映射到 ASP.NET Core 身份用户
ASP .NET Core 2.0 - OpenId Connect Auth:相关错误
ASP.NET 使用外部 OpenID Connect 提供程序进行核心认证/授权
OpenId Connect身份验证.NET Core
net.core / asp.net 身份 / openid 连接中的关联失败
.Net Core 2 OpenID Connect身份验证和多个身份
ASP .NET Core OpenID Connect - 在外部登录后发布我自己的 cookie?
外部注销后如何重定向到设置注销页面(openid Connect)Asp net core 3.1
OpenID 连接 ASP.NET MVC
相关标签