身份提供者和授权端点与授权服务器位于同一服务器中:“ auth-server”。
每个资源服务器中有多个资源提供者:“ res-server1,res-server2,...。”
首先,从“身份验证服务器”请求id_token并将其存储在客户端浏览器的会话存储中。这只是RFC 6749中定义的“授权代码流”
来自auth服务器的访问令牌只能由auth服务器使用,而不能由其他res服务器使用。
第二,通过“ id_token”从“ res-server”请求“ res访问令牌”。
第三,请求带有“ res access token”的“ res api”。
或者仅使用“ id_token”作为访问令牌。
我想知道将id_token存储在客户端浏览器的会话存储中是否存在安全隐患,以及如何防止这种危险。
答案 0 :(得分:1)
最大的问题是它在客户端,无论您做什么,都将始终没有安全感。建议使用中间服务器端层来跟踪特定客户端的ID令牌。