在客户端浏览器的会话存储中存储openId的“ id_token”是否存在任何安全风险
身份提供者和授权端点与授权服务器位于同一服务器中:“ auth-server”。
每个资源服务器中有多个资源提供者:“ res-server1,res-server2,...。”
首先,从“身份验证服务器”请求id_token并将其存储在客户端浏览器的会话存储中。这只是RFC 6749中定义的“授权代码流”
来自auth服务器的访问令牌只能由auth服务器使用,而不能由其他res服务器使用。
第二,通过“ id_token”从“ res-server”请求“ res访问令牌”。
第三,请求带有“ res access token”的“ res api”。
或者仅使用“ id_token”作为访问令牌。
我想知道将id_token存储在客户端浏览器的会话存储中是否存在安全隐患,以及如何防止这种危险。
1 个答案:
答案 0 :(得分:1)
最大的问题是它在客户端,无论您做什么,都将始终没有安全感。建议使用中间服务器端层来跟踪特定客户端的ID令牌。
相关问题
- 我在网站上使用OpenID作为身份验证方法是否存在任何安全风险?
- 持续投票是否存在真正的风险?
- 是否有任何用objective-c编写的OpenID客户端库?
- 处理移动客户端和服务器之间的OpenID Connect id_token和access_token的安全风险(Google登录)
- 暴露用户独特的MongoDB _id是否存在安全风险?
- 发送整个网址作为参数是否存在安全风险?
- 使用OpenIDDict由机密客户端编码id_token
- 将id_token传递给浏览器代码是不安全的吗?
- 在LocalStorage中存储信用卡/银行帐户信息有哪些风险?
- 在客户端浏览器的会话存储中存储openId的“ id_token”是否存在任何安全风险
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?