使用Azure Active Directory B2C时,您将获得id_token验证用户以后的请求。我们可以通过几种方式将query传递给用户。 (Every design that deserves the name means you have a conflict of goals)他们是form_post,fragment或id_token。
如果我们使用查询,{{1}}将作为查询参数传递。这有安全隐患吗?如果是这样,我如何在Web浏览器中直接将其注入cookie?
答案 0 :(得分:3)
表单帖子是最安全的,因为它不存储在浏览器历史记录中。
查询字符串和片段会存储在历史记录中,因此有人可以从那里获取它。
如果令牌通过HTTPS传递,那么尝试连接中间人的任何人都无法看到。
编辑:当id令牌到期时,它并不重要,因为它不是访问令牌。你不能用它来打电话。您想要保护它的唯一原因是它包含有关用户的私人信息。
Azure AD B2C发布令牌的重定向URI应为https:,而不是http:。