Identityserver4 偷饼干和偷刷新令牌有什么不同吗?
我目前正在使用Angular和.NET Core进行身份验证和授权。从我在SO上以及IdentityServer和Auth0文档上的各种帖子中读到的内容来看,刷新令牌不应与SPA一起使用-我理解其原因,这里不需要解释 我不明白的是,为什么窃取刷新令牌与窃取cookie有什么不同?浏览器支持一些选项(SameSite,HttpOnly),这使得窃取cookie变得很困难。存储在浏览器中的令牌目前没有这种保护。简单地说就是这样。你可以找到更深入的比较Identityserver4 偷饼干和偷刷新令牌有什么不同吗?,identityserver4,Identityserver4,我目前正在使用Angular和.NET Core进行身份验证和授权。从我在SO上以及IdentityServer和Auth0文档上的各种帖子中读到的内容来看,刷新令牌不应与SPA一起使用-我理解其原因,这里不需要解释 我不明白的是,为什么窃取刷新令牌与窃取cookie有什么不同?浏览器支持一些选项(SameSite,HttpOnly),这使得窃取cookie变得很困难。存储在浏览器中的令牌目前没有这种保护。简单地说就是这样。你可以找到更深入的比较