Asp.net url中明文形式的IdentityServer3客户端ID和密码
我使用的是ASP.NETMVC/WebForms项目中的混合流。来自客户端的重定向在我的url中包含明文形式的clientId和clientSecret 我的客户端设置代码与示例代码非常相似:Asp.net url中明文形式的IdentityServer3客户端ID和密码,asp.net,identityserver3,Asp.net,Identityserver3,我使用的是ASP.NETMVC/WebForms项目中的混合流。来自客户端的重定向在我的url中包含明文形式的clientId和clientSecret 我的客户端设置代码与示例代码非常相似: app.UseOpenIdConnectAuthentication(new OpenIdConnectAuthenticationOptions { ClientId = "myclientid", Clie
app.UseOpenIdConnectAuthentication(new OpenIdConnectAuthenticationOptions
{
ClientId = "myclientid",
ClientSecret = "this is my secret",
Authority = MyConstants.IdSrv,
RedirectUri = myurl,
ResponseType = "code id_token token",
Scope = "openid profile roles "
etc.
这似乎不是个好主意。我是不是错过了一些非常明显的东西?谁把秘密放在了url上。这是不需要的(显然也不推荐),我没有做任何事情故意把它放在那里。是否有默认打开的设置?我只是提供了一个标准的401,startup.UseOpenIdConnect配置似乎接管了它。然后将其从配置中删除。你不需要它,你能详细说明一下吗?我的客户实际上不需要提供秘密或客户id?设置代码现在在问题中。clientId是-但不是授权请求的机密。谁将机密放在url上。这是不需要的(显然也不推荐),我没有做任何事情故意把它放在那里。是否有默认打开的设置?我只是提供了一个标准的401,startup.UseOpenIdConnect配置似乎接管了它。然后将其从配置中删除。你不需要它,你能详细说明一下吗?我的客户实际上不需要提供秘密或客户id?设置代码现在在问题中。clientId是-但不是授权请求的机密。