标签: identityserver4
我目前正在使用Angular和.NET Core进行身份验证和授权。根据我在SO上的各种帖子以及IdentityServer和Auth0文档中所读到的内容,不应将刷新令牌与SPA一起使用-我了解原因,此处无需解释。
我不明白的是为什么窃取刷新令牌与窃取cookie有何不同?
答案 0 :(得分:1)
浏览器支持某些选项( SameSite , HttpOnly ),这使窃取cookie变得困难。存储在浏览器中的令牌目前没有这种保护。简单地说就是这样。您可以找到更深入的比较here