最近 identityserver 4 auth 已经开始不断地点击授权和静默更新端点
Recently identityserver 4 auth has started to constantly hit the authorize, and silent renew endpoints
我们有 3 个应用程序:客户端 (React/SPA)、API (ASP.NET CORE 3.1) 和 Auth (ASP.NET CORE 3.1 with IdentityServer 4)。
最近,该应用程序开始不断进行看似无声的更新。客户端应用程序加载后,我可以在网络选项卡中看到它立即命中身份服务器上的授权端点,然后我在应用程序的 iframe 中看到静默更新页面加载,然后它命中令牌端点身份服务器,然后是用户信息,它一直在这个序列中循环 - 永远不会停止。过一个过。我们使用 redux-oidc,它在 oidc-client 上运行,我可以在控制台中看到这不是由 redux-oidc 完成或处理的。我还可以在处理 usermnanager 上的事件时看到我的令牌没有过期,因此它似乎也没有启动它。我们的身份服务器 samesite=none 也为来自那里的 cookie 设置了安全属性,我认为这可能是问题所在,但这种情况仍在发生。
还有什么我们应该看的吗?为什么这一切最近突然开始发生 - 我们甚至将我们的代码备份到一个多月前的版本,但问题仍然存在,所以我们不知道我们所做的任何代码更改可能会导致这个我相信这是上周才开始发生的。
HttpOnly
是添加到cookies的标志,告诉浏览器不要通过client-side脚本显示cookie。当您使用 HttpOnly 标志设置 cookie 时,它会通知浏览器该特殊 cookie 只能由服务器访问。
但是 JS/SPA 客户端的 OIDC 会话管理规范需要该 cookie。如果你改变它,你会破坏这些类型的客户。这是设计使然,请检查规范 https://openid.net/specs/openid-connect-session-1_0.html#ChangeNotification
所以你很好,因为不需要将 HttpOnly 设置为 true。
我们有 3 个应用程序:客户端 (React/SPA)、API (ASP.NET CORE 3.1) 和 Auth (ASP.NET CORE 3.1 with IdentityServer 4)。
最近,该应用程序开始不断进行看似无声的更新。客户端应用程序加载后,我可以在网络选项卡中看到它立即命中身份服务器上的授权端点,然后我在应用程序的 iframe 中看到静默更新页面加载,然后它命中令牌端点身份服务器,然后是用户信息,它一直在这个序列中循环 - 永远不会停止。过一个过。我们使用 redux-oidc,它在 oidc-client 上运行,我可以在控制台中看到这不是由 redux-oidc 完成或处理的。我还可以在处理 usermnanager 上的事件时看到我的令牌没有过期,因此它似乎也没有启动它。我们的身份服务器 samesite=none 也为来自那里的 cookie 设置了安全属性,我认为这可能是问题所在,但这种情况仍在发生。
还有什么我们应该看的吗?为什么这一切最近突然开始发生 - 我们甚至将我们的代码备份到一个多月前的版本,但问题仍然存在,所以我们不知道我们所做的任何代码更改可能会导致这个我相信这是上周才开始发生的。
HttpOnly
是添加到cookies的标志,告诉浏览器不要通过client-side脚本显示cookie。当您使用 HttpOnly 标志设置 cookie 时,它会通知浏览器该特殊 cookie 只能由服务器访问。
但是 JS/SPA 客户端的 OIDC 会话管理规范需要该 cookie。如果你改变它,你会破坏这些类型的客户。这是设计使然,请检查规范 https://openid.net/specs/openid-connect-session-1_0.html#ChangeNotification
所以你很好,因为不需要将 HttpOnly 设置为 true。