我'm currently in the process of implementing security on my ASP.Net Core 2.1 React/Redux app and I'已经关注Js Client quickstart以及其他Identity Server快速入门 . 我也一直在阅读Identity Server 4 + Identity Framework + React Front End中提到的概念,并遵循复数课程Securing ASP.NET Core 2 with OAuth2 and OpenID Connect,它在IDS4的背景下进入oidc更深一些 .
在这个复杂的过程中,作者进入OpenId Connect流程(here if you have access),从我收集的内容中我安全地存储了一个,因为它是一个公共客户端 .
所以这是我的困惑,我的客户端应用程序是使用VS2017的项目模板构建的,用于使用React和Redux创建ASP.Net核心应用程序 - 所以它仍然是一个Javascript应用程序?此Web应用程序将通过单个身份管理源(IDS4)登录,并且需要授予客户端对Web项目(React .NET Core)以及WebApi(通过Web项目中的控制器)的访问权限,因此是否存在安全的方式使用Hybrid流来实现这一目标?
注意 - 客户端的ASP.NET端呈现的索引页面是一个html文件,如果在此根页面上呈现为具有安全性的.cshtml,它会更安全吗?这里的安全最佳做法是什么?
1 回答
纯JavaScript应用程序的建议是使用隐式流,这是oidc-client-js库支持的 . 它最适合该架构并支持自动访问令牌续订,但它并非完全没有缺点 - 特别容易受到XSS令牌盗窃的攻击 .
您可以将服务器端混合流与cookie结合使用以进行后端身份验证,但之后您必须对CSRF进行缓解 .