C# Xamarin使用MSAL Azure B2C进行身份验证,在aquire令牌请求和凭据中发送包含敏感详细信息的标头,而不加密
我在Xamarin.Forms应用程序中使用MSAL库进行身份验证,它工作正常,但在penn测试时,它暴露了太多细节,如下所示C# Xamarin使用MSAL Azure B2C进行身份验证,在aquire令牌请求和凭据中发送包含敏感详细信息的标头,而不加密,c#,xamarin.forms,xamarin.android,msal,C#,Xamarin.forms,Xamarin.android,Msal,我在Xamarin.Forms应用程序中使用MSAL库进行身份验证,它工作正常,但在penn测试时,它暴露了太多细节,如下所示 x-client-SKU: MSAL.Xamarin.Android x-client-Ver: 4.4.0.0 x-client-DM: Redmi *** 这也是我们可以在普通字符串中看到凭证的原因 我的问题是,有没有一种方法可以在发出请求时隐藏、省略或加密这些额外的参数和凭据 一种方法是使用库拦截这些请求并删除这些头,但这本身就是一个挑战 以下代码: Authe
x-client-SKU: MSAL.Xamarin.Android
x-client-Ver: 4.4.0.0
x-client-DM: Redmi ***
这也是我们可以在普通字符串中看到凭证的原因
我的问题是,有没有一种方法可以在发出请求时隐藏、省略或加密这些额外的参数和凭据
一种方法是使用库拦截这些请求并删除这些头,但这本身就是一个挑战
以下代码:
AuthenticationClient = PublicClientApplicationBuilder
.Create(MyClientId)
.WithIosKeychainSecurityGroup(MyKeychainSecurityGroups)
.WithB2CAuthority(MyAuthoritySignin)
.Build();
var result = await AuthenticationClient
.AcquireTokenInteractive(MyScopes)
.WithPrompt(Prompt.SelectAccount)
.WithUseEmbeddedWebView(true)
.WithParentActivityOrWindow(App.UIParent)
.ExecuteAsync()
.ConfigureAwait(false);
它在HTTPS下运行吗?是的,我们的azure b2c端点是HTTPS,我们仍然可以清楚地看到标题。它在HTTPS下运行吗?是的,我们的azure b2c端点是HTTPS,我们仍然可以清楚地看到标题。