我在Startup.cs中配置了我的身份服务器客户端
app.UseJwtBearerAuthentication(options =>
{
options.Authority = Configuration["Urls:IdentityServer"];
options.RequireHttpsMetadata = false;
options.Audience = Configuration["Urls:IdentityServer"] + "/resources";
options.AutomaticAuthenticate = true;
}
这将采用所有推荐的JWT验证(签名,随机数等)还是我必须编写自己的任何验证?
答案 0 :(得分:1)
您应该在生产中的元数据上要求使用HTTPS。
除了JWT中间件之外,您还需要进行范围验证。