具有一个使用Azure Active Directory作为身份提供者的MVC应用程序。 为了防御重放攻击,我想在OpenIdConnectAuthenticationNotifications的SecurityTokenValidateEvent回调函数中执行随机数检查。
在回调中,这里是我的代码。
Like我可以通过任何方式获取在初始授权请求中发送的随机数。
我摘录了“ Azure Active Directory用于Web应用程序的现代身份验证”和更多Web参考(https://openid.net/specs/openid-connect-core-1_0.html)的摘录。到处都说,验证请求和声明中的随机数是防御重放攻击的唯一方法。不幸的是,我没有看到这样的示例。
专家,请对此进行说明。