部署文档说明了这一点:
如果您在IIS中运行,则需要同步机器密钥。如果您在IIS外部运行,则需要使用适用于Katana的Web场兼容数据保护程序。
我的问题是,同步机器密钥是IIS的唯一有效方法,还是数据保护方法也是一种选择?如果是这样,是否有理由选择机器密钥而不是数据保护器证书?
答案 0 :(得分:2)
您可以使用IDataProtector中的DataProtector属性在IdentityServer 3中注册OWIN / Katana IdentityServerOptions。
没有理由你应该使用机器密钥,只要数据保护器是安全的'并且在其中使用的任何密钥在所有实例中都是相同的,因此所有IdentityServer实例都可以解除对彼此标记的保护。
我过去推荐IIS机器密钥的唯一原因是因为它是一种相对常见的方法,并且大多数管理员都能理解。