Asp.net url中明文形式的IdentityServer3客户端ID和密码_Asp.net_Identityserver3

Asp.net url中明文形式的IdentityServer3客户端ID和密码

asp.net

Asp.net url中明文形式的IdentityServer3客户端ID和密码,asp.net,identityserver3,Asp.net,Identityserver3,我使用的是ASP.NETMVC/WebForms项目中的混合流。来自客户端的重定向在我的url中包含明文形式的clientId和clientSecret 我的客户端设置代码与示例代码非常相似： app.UseOpenIdConnectAuthentication(new OpenIdConnectAuthenticationOptions { ClientId = "myclientid", Clie

我使用的是ASP.NETMVC/WebForms项目中的混合流。来自客户端的重定向在我的url中包含明文形式的clientId和clientSecret

我的客户端设置代码与示例代码非常相似：

  app.UseOpenIdConnectAuthentication(new OpenIdConnectAuthenticationOptions
            {

                ClientId = "myclientid",
                ClientSecret =  "this is my secret",
                Authority = MyConstants.IdSrv,

                RedirectUri = myurl,
                               ResponseType = "code id_token token",
                Scope = "openid profile roles "
etc.

这似乎不是个好主意。我是不是错过了一些非常明显的东西？

谁把秘密放在了url上。这是不需要的（显然也不推荐），我没有做任何事情故意把它放在那里。是否有默认打开的设置？我只是提供了一个标准的401，startup.UseOpenIdConnect配置似乎接管了它。然后将其从配置中删除。你不需要它，你能详细说明一下吗？我的客户实际上不需要提供秘密或客户id？设置代码现在在问题中。clientId是-但不是授权请求的机密。谁将机密放在url上。这是不需要的（显然也不推荐），我没有做任何事情故意把它放在那里。是否有默认打开的设置？我只是提供了一个标准的401，startup.UseOpenIdConnect配置似乎接管了它。然后将其从配置中删除。你不需要它，你能详细说明一下吗？我的客户实际上不需要提供秘密或客户id？设置代码现在在问题中。clientId是-但不是授权请求的机密。