防止在Identity Server4中使用隐式授予时重放攻击?

时间:2018-09-27 08:07:29

标签: c# asp.net-core-2.0 identityserver4

如何减轻重播攻击? 我网站的回叫网址可以轻松重播以获得有效令牌。 我在OAuth 2中看到过,并确定了可以通过添加随机数来防止这种情况的服务器文档。

我正在使用identitserver 4和angular 6 / aspcore API。 如何使用随机数来验证和缓解攻击?

如果是,则在何处验证随机数(身份服务器端或客户端“ Angular”。)

1 个答案:

答案 0 :(得分:1)

如果您不使用随机数并对其进行验证,则说明您未使用OpenID Connect协议。

简单来说,您将生成一个随机数,将其发送到授权请求中,并将其临时存储在本地,然后检查生成的id_token是否包含具有匹配值的随机数。这可以验证该回调与您刚发出的请求有关,因此不能再次使用相同的回调请求。