使用 OpenIddict 的授权代码流和 PKCE 示例
Authorization Code Flow and PKCE example using OpenIddict
我偶然发现了 OpenIddict,在浏览了几个示例服务器代码后,我找不到我要找的东西。我希望看到一个 OpenIddict 使用授权代码流和 PKCE 的例子,因为这似乎是现在推荐的安全方法,但找不到同时使用两者的方法。我的应用程序是一个 ASP.NET 基于核心 WebAPI 的应用程序,带有一个 React 客户端。任何帮助或指导将不胜感激。
OpenIddict 中的 PKCE 与在任何其他 OIDC 服务器中一样工作:您只需在构建授权请求时发送 code_challenge(以及可选的 code_challenge_method)。
如果您这样做,OpenIddict 会将其存储在授权代码票证中,并将其与您作为令牌请求的一部分发送的 code_verifier 进行比较。如果您不发送验证码,令牌请求将被自动拒绝。
在 3.0 中,我们将引入一个选项,允许拒绝不使用 PKCE 的授权请求,以便您可以强制您的客户端使用 PKCE。
我偶然发现了 OpenIddict,在浏览了几个示例服务器代码后,我找不到我要找的东西。我希望看到一个 OpenIddict 使用授权代码流和 PKCE 的例子,因为这似乎是现在推荐的安全方法,但找不到同时使用两者的方法。我的应用程序是一个 ASP.NET 基于核心 WebAPI 的应用程序,带有一个 React 客户端。任何帮助或指导将不胜感激。
OpenIddict 中的 PKCE 与在任何其他 OIDC 服务器中一样工作:您只需在构建授权请求时发送 code_challenge(以及可选的 code_challenge_method)。
如果您这样做,OpenIddict 会将其存储在授权代码票证中,并将其与您作为令牌请求的一部分发送的 code_verifier 进行比较。如果您不发送验证码,令牌请求将被自动拒绝。
在 3.0 中,我们将引入一个选项,允许拒绝不使用 PKCE 的授权请求,以便您可以强制您的客户端使用 PKCE。