我在这里经历了不同的帖子,我现在对如何实现令牌的安全性更加困惑。 。我目前实现了身份验证服务(MVC4 + webAPIs)和依赖方(MVC4应用程序)。依赖方(RP)将客户端重定向到身份验证服务(AS)。 AS创建一个令牌,将其提供给客户端。客户将其提供给RP。 RP增加了更多索赔等 这是我想要保护令牌的目的: Hashing使用HMAC SHA 256标记令牌。如何在AS和RP之间共享密钥?我是否必须对其进行签名并将其添加到有效负载中并进行加密?
我目前正在共享哈希和&的对称密钥。 AS和RP之间的加密。
我是第一次开展安全工作..虽然我已经完成了多个帖子,但我还没有完全理解,在阅读了很多帖子之后也很困惑。如果有人可以提供帮助..