在客户端浏览器的会话存储中存储openId的“ id_token”是否存在任何安全风险

时间:2018-09-16 07:41:41

标签: security openid

身份提供者和授权端点与授权服务器位于同一服务器中:“ auth-server”。

每个资源服务器中有多个资源提供者:“ res-server1,res-server2,...。”

首先,从“身份验证服务器”请求id_token并将其存储在客户端浏览器的会话存储中。这只是RFC 6749中定义的“授权代码流”

enter image description here

来自auth服务器的访问令牌只能由auth服务器使用,而不能由其他res服务器使用。

第二,通过“ id_token”从“ res-server”请求“ res访问令牌”。

第三,请求带有“ res access token”的“ res api”。

或者仅使用“ id_token”作为访问令牌。

我想知道将id_token存储在客户端浏览器的会话存储中是否存在安全隐患,以及如何防止这种危险。

1 个答案:

答案 0 :(得分:1)

最大的问题是它在客户端,无论您做什么,都将始终没有安全感。建议使用中间服务器端层来跟踪特定客户端的ID令牌。