在我的应用程序中,我将用户重定向到 Azure B2C 屏幕,以便他们可以更改其帐户。
我使用以下代码将用户传递给 B2C,其中包含对 properties.Items 的引用,我正在用一个值填充它:
var scheme = OpenIdConnectDefaults.AuthenticationScheme;
var properties = new AuthenticationProperties { RedirectUri = redirectUrl };
properties.Items["data1"] = "[possiblySensitiveData]";
return Challenge(properties, scheme);
当用户从 Azure B2C 屏幕返回到我的应用程序时,我可以从 data1 中检索值。
监听的人是否也可以检索存储在“data1”中的值?或者以这种方式传递的任何值是否默认加密?
答案 0 :(得分:1)
OpenIdConnectHandler 加密数据:https://github.com/dotnet/aspnetcore/blob/78ab4bd673c1040cf59400be76daf395062bc6a7/src/Security/Authentication/OpenIdConnect/src/OpenIdConnectHandler.cs#L450。
message.State = Options.StateDataFormat.Protect(properties);
var dataProtector = options.DataProtectionProvider.CreateProtector(
typeof(OpenIdConnectHandler).FullName!, name, "v1");
options.StateDataFormat = new PropertiesDataFormat(dataProtector);
它使用 ASP.NET Core 中的标准数据保护系统。