使用JWT实现跨域身份验证的单点登录流程
在Web上有很多关于使用JWT(Json Web Token)进行身份验证的信息。但是,我仍然没有找到清晰的解释,即在多域环境中使用JWT标记实现单点登录解决方案时应该遵循哪些流程。 我在一家拥有许多不同主机站点的公司工作。让我们使用example1.com和example2.com。我们需...
OAuth 2.0中的"state"和OpenID中的"nonce"参数有什么区别?为什么状态不能被重复使用?
OAuth 2.0 定义了“状态”参数,供客户端在请求中发送,以防止跨站点请求攻击。同样,在 OpenID 规范中,“nonce”也提到了这一点。除了“nonce”是在 ID 令牌中返回而不是查询参数之外,它们似乎具有完全相同的目的。如果有人能解释为什么它们是分开的就好了。
OpenID Connect中的ID Token到期时间有什么意图?
在 OpenID Connect 中,访问令牌具有过期时间。对于授权代码流程,这通常很短(例如20分钟),之后您可以使用刷新令牌来请求新的访问令牌。 ID 令牌也具有过期时间。我的问题是:这个的意图是什么? 任何 ID 令牌的过期时间小于刷新令牌的过期时间都意味着您最终会拥有一个过期的 I...
.NET Core Identity Server 4 认证与 Identity 认证的区别
我正在尝试理解在ASP.NET Core中进行身份验证的正确方法。我查看了几个资源(大多已过时)。 Microsoft Identity的简单实现 ASP.Core身份验证介绍 MSDN的Identity介绍 有些人提供替代方案,建议使用基于云的解决方案,如Azure AD,或使用Id...
如何在Keycloak中指定刷新令牌的生命周期
Keycloak的刷新令牌生存期为1800秒: "refresh_expires_in": 1800 如何指定不同的过期时间?在Keycloak管理界面中,只能指定访问令牌的生存期:
使用C#验证使用RS256算法签名的JWT,使用公钥进行验证
好的,我理解我正在问的问题可能非常明显,但不幸的是我对这个主题缺乏知识,而且这个任务对我来说似乎相当棘手。 我有一个由OpenID Connect提供者返回的id token(JWT),它在这里: eyJraWQiOiIxZTlnZGs3IiwiYWxnIjoiUlMyNTYifQ....
IdentityServer流程
IdentityServer支持不同的OpenId Connect流程,这些流程在Flows枚举中定义并设置给客户端。每种类型的流程都有示例,并在文档中引用它们,但我找不到一个简单的定义列表来解释文档中的这些流程,好像它们太明显了,不需要用文字来解释。但我想它们并不是那么明显。您能否详细介绍一...
id_token和access_token的区别澄清
我正在使用OIDC和OAuth 2.0(使用Auth0),构建一个系统,但我不确定如何正确使用id_token和access_token。或者说,我对于在我的设置中为各种服务分配哪些角色感到困惑。 我有一个完全静态的前端应用程序(单页应用程序,HTML + JS,没有后端),它使用隐式流程对...
使用API登录到Keycloak
我有两个不同的应用程序:分别是 Application1 和 Application2。 我已经将Application2与 Keycloak 集成,可以使用 Keycloak 的登录页面登录到该应用程序。 现在我想要的是,如果我在没有 Keycloak 的情况下登录到我的 Applica...