是否可以在没有 cookie 的情况下进行隐式流身份验证?
Is it possible to have Implicit flow authentication without cookies?
我正在从事同时使用 .NET Framework 和 .NET Core 并使用 ID Server 3/4 的项目(当然也分别使用),我已经意识到隐式流程及其工作方式 Javascript 客户。我确实注意到它使用了 cookie,我认为这就是为什么会发生很多重定向等等。
但事后看来,这让我想知道如果我们当时了解隐式流但不使用 cookie 并且仅依赖会话存储,那么以前的项目是否会更好。那可能吗?
使用隐式流并不意味着您被迫使用 cookie 来存储用户 data/tokens。
是的,对于隐式客户端,您可以将令牌存储在会话存储中。这是 oidc-client.
等流行客户端库的默认设置
请注意,使用这种方法,用户数据和令牌对浏览器、用户和您站点中的任何其他 JS 运行 都是可见的。
我正在从事同时使用 .NET Framework 和 .NET Core 并使用 ID Server 3/4 的项目(当然也分别使用),我已经意识到隐式流程及其工作方式 Javascript 客户。我确实注意到它使用了 cookie,我认为这就是为什么会发生很多重定向等等。
但事后看来,这让我想知道如果我们当时了解隐式流但不使用 cookie 并且仅依赖会话存储,那么以前的项目是否会更好。那可能吗?
使用隐式流并不意味着您被迫使用 cookie 来存储用户 data/tokens。
是的,对于隐式客户端,您可以将令牌存储在会话存储中。这是 oidc-client.
等流行客户端库的默认设置请注意,使用这种方法,用户数据和令牌对浏览器、用户和您站点中的任何其他 JS 运行 都是可见的。