使用PKCE时是否需要使用参考令牌?
Is it needed to use reference tokens while using PKCE?
我目前正在做一个项目,其中 IdentityServer4 被用作 authorization/authentication 服务器。我们只有一个客户端 (Angular) 和一些基于资源的 API (ASP.NET Core)。
目前我们使用代码流(PKCE)并同时引用令牌,利用 IdentityServer4 提供的令牌内省端点。
同时使用 PKCE 和参考令牌是否有点过分?从 API 请求始终调用 IdentityServer4 的令牌内省端点向收到的每个资源请求添加另一个请求。我们想知道使用参考令牌是否比仅使用具有普通访问令牌的 PKCE 给我们带来任何安全优势。
谢谢!
PKCE 仅在这里用于保护初始用户身份验证,之后 PKCE 不再涉及,您将 PKCE 用于参考和普通 JWT 令牌。
如果您担心额外查找请求的性能,那么您应该看看这个视频
Improving JWT performance in ASP.NET Core webinar with Mentor - Marcin Hoppe
我目前正在做一个项目,其中 IdentityServer4 被用作 authorization/authentication 服务器。我们只有一个客户端 (Angular) 和一些基于资源的 API (ASP.NET Core)。 目前我们使用代码流(PKCE)并同时引用令牌,利用 IdentityServer4 提供的令牌内省端点。
同时使用 PKCE 和参考令牌是否有点过分?从 API 请求始终调用 IdentityServer4 的令牌内省端点向收到的每个资源请求添加另一个请求。我们想知道使用参考令牌是否比仅使用具有普通访问令牌的 PKCE 给我们带来任何安全优势。
谢谢!
PKCE 仅在这里用于保护初始用户身份验证,之后 PKCE 不再涉及,您将 PKCE 用于参考和普通 JWT 令牌。
如果您担心额外查找请求的性能,那么您应该看看这个视频
Improving JWT performance in ASP.NET Core webinar with Mentor - Marcin Hoppe