标签: oauth jwt adfs
我们正在使用C#WebApi开发一个React应用程序。我们正在使用ADFS来检索JWT并通过在授权标头中传递WebAPI令牌来对用户进行身份验证。
在生成令牌后,我们将令牌和标头中的每个请求发送到WebAPI,这是常规过程。但是,我们如何确保令牌是从react应用程序而不是从Web测试工具(如PostMan)发送的。
我们将令牌存储在浏览器的本地存储中。验证请求时,我们是否需要对令牌或请求的源进行加密?