身份服务器使用来自 javascript 的客户端密钥
identity server use client secret from javascript
我正在使用身份服务器 3,想知道使用来自 JavaScript 的客户端密码是否存在任何风险,以便能够使用密码令牌授予。
编辑
来自 Scott Brady 的回答
然后您还会知道隐式流 returns 是一个访问令牌,并且 ROPC 流不安全且已弃用。通过窃取客户端机密,其他应用程序可以冒充您的应用程序,使网络钓鱼变得非常简单。您的令牌端点成为一个 public 端点,任何人都可以使用它来验证您的用户凭据 https://www.scottbrady91.com/OAuth/Why-the-Resource-Owner-Password-Credentials-Grant-Type-is-not-Authentication-nor-Suitable-for-Modern-Applications
如果在浏览器中是 JavaScript 运行,那么你的秘密就不再是秘密了。
JavaScript 运行 在浏览器中被认为是 public 客户端。隐式流程是为您的场景明确设计的。
我正在使用身份服务器 3,想知道使用来自 JavaScript 的客户端密码是否存在任何风险,以便能够使用密码令牌授予。
编辑 来自 Scott Brady 的回答
然后您还会知道隐式流 returns 是一个访问令牌,并且 ROPC 流不安全且已弃用。通过窃取客户端机密,其他应用程序可以冒充您的应用程序,使网络钓鱼变得非常简单。您的令牌端点成为一个 public 端点,任何人都可以使用它来验证您的用户凭据 https://www.scottbrady91.com/OAuth/Why-the-Resource-Owner-Password-Credentials-Grant-Type-is-not-Authentication-nor-Suitable-for-Modern-Applications
如果在浏览器中是 JavaScript 运行,那么你的秘密就不再是秘密了。
JavaScript 运行 在浏览器中被认为是 public 客户端。隐式流程是为您的场景明确设计的。