asp.net-core - 使用 PKCE 时是否需要使用参考令牌?
问题描述
我目前正在开发一个将 IdentityServer4 用作授权/身份验证服务器的项目。我们只有一个客户端 (Angular) 和一些基于资源的 API (ASP.NET Core)。目前我们使用代码流 (PKCE) 并同时引用令牌,利用 IdentityServer4 提供的令牌自省端点。
同时使用 PKCE 和参考令牌是否过大?从 API 请求始终调用 IdentityServer4 的令牌自省端点会为收到的每个资源请求添加另一个请求。我们想知道使用引用令牌是否比仅使用带有普通访问令牌的 PKCE 给我们带来任何安全优势。
谢谢!
解决方案
PKCE 仅用于保护初始用户身份验证,之后不再涉及 PKCE,您将 PKCE 用于参考和普通 JWT 令牌。
如果您担心额外查找请求的性能,那么您应该看看这个视频
推荐阅读
- flutter - 保存图像和视频以供离线访问
- vba - MS-Access 使用 VBA 将可变行值动态转换为可变列值
- php - 如何使用单个 PDO 查询选择这两个表
- database - Firestore 多对多关系 - 如何更新数据?
- linux-from-scratch - 需要有关 LFS-7.10 Pass2 binutils 配置错误的帮助
- php - 在单个域中配置多个 onesignal 通知
- flutter - Flutter MatrixGestureDetector - 最小和最大比例
- javascript - 如何强制测试套件首先运行并在失败时退出整个 Jest 执行?
- arrays - 在c中使用通用快速排序对char**数组进行排序
- css - 为单选按钮文本提供 nowrap