我偶然发现了OpenIddict,并在查看了一些示例服务器代码后,找不到所需的内容。我希望看到一个使用Auth代码流和PKCE的OpenIddict示例,因为这似乎是现在建议的安全性方法,但是找不到同时使用两者的显式方法。我的应用程序是带有React客户端的基于ASP.NET Core WebAPI的应用程序。任何帮助或指导将不胜感激。
答案 0 :(得分:0)
OpenIddict中的PKCE的工作方式与其他OIDC服务器中的工作相同:您只需在建立授权请求时发送code_challenge(还可以发送code_challenge_method)。
如果这样做,OpenIddict会将其存储在授权码票据中,并将其与您作为令牌请求的一部分发送的code_verifier进行比较。如果您不发送代码验证程序,则令牌请求将被自动拒绝。
在3.0中,我们将引入一个选项,该选项允许拒绝不使用PKCE的授权请求,以便您可以强制客户使用PKCE。