我正在分别使用ID Server 3/4的项目同时使用.NET Framework和.NET Core的项目(当然是分别使用),并且我已经意识到隐式流程及其对Javascript客户端的工作方式。我确实注意到它使用Cookie,并且我认为这就是为什么发生大量重定向等的原因。
但是事后看来,如果让我们知道隐式流,但不使用cookie并仅依靠会话存储,那使我想知道,是否有一个更好的先前项目?那有可能吗?
答案 0 :(得分:1)
使用隐式流程并不意味着您被迫使用Cookie来存储用户数据/令牌。
是的,对于隐式客户端,您可以将令牌存储在会话存储中。这是oidc-client之类的流行客户端库的默认设置。
请注意,通过这种方法,浏览器,用户以及您网站上运行的任何其他JS都可以看到用户数据和令牌。