c# - 在 Identity server4 中使用隐式授权时防止重放攻击?
问题描述
如何减轻重放攻击?我的网站的回调 URL 可以很容易地重放以获得有效的令牌。我在 OAuth 2 中看到并确定了我们可以通过添加 nonce 来防止这种情况的服务器文档。
我正在使用 identitserver 4 和 angular 6/aspcore API。如何使用 nonce 来验证和缓解攻击?
如果是这样,在哪里验证随机数(身份服务器端或客户端“Angular”。
解决方案
如果您没有使用 nonce 并对其进行验证,那么您就没有使用 OpenID Connect 协议。
简单来说,您生成一个随机数,在授权请求中发送它,并在本地临时存储它,然后检查生成的 id_token 是否包含具有匹配值的随机数。这将验证回调是否与您刚刚发出的请求相关,因此不能再次使用相同的回调请求。
推荐阅读
- office-js - 获取用户编辑excel文档的信息
- pandas - pandas 所有指数的平均 bin 值
- java - Spring boot JPA - 延迟加载不适用于一对一映射
- powershell - 在 PowerShell 中使用 Where-Object 计数过滤 (xml-)Data ...
- php - array_column 在 PHP 5.6 中返回空数组
- python - 抽象 DGRAM 套接字,C 服务器和 Python 客户端,连接被拒绝
- java - 如何从 guava cacheloader 获取缓存的值并更新值而不更改缓存中的值?
- java - 如何根据列值向arraylist显示数据
- tableau-api - 如何计算 Tableau 中多列中的 Null 和 Not Null 记录
- angular - 带有 ng-template 的 ReactiveForm