我使用ThinkTecture身份服务器v3作为Idenity提供程序。它向我发出访问令牌。我正在使用这些访问令牌进行Web API通信。它运作得很好。
我的问题是,如果有人获得此发布的令牌并尝试使用此访问令牌访问Web API,则他/她可以访问。我验证了它,我获得了访问权限。我们如何限制只有被发出的机器使用的访问令牌?
答案 0 :(得分:0)
你是对的 - 目前只有一个所谓的承载令牌的标准。拥有令牌的人都可以使用它。这就是为什么对所有网络通信使用传输保护至关重要的原因。
有关于拥有语义和请求签名的证明即将出现的规范。