Oauth 2.0 IdentityServer4中的CSRF保护_Oauth 2.0_Asp.net Core Mvc_Openid Connect_Csrf Protection_Identityserver4

Oauth 2.0 IdentityServer4中的CSRF保护

oauth-2.0 asp.net-core-mvc identityserver4

Oauth 2.0 IdentityServer4中的CSRF保护,oauth-2.0,asp.net-core-mvc,openid-connect,csrf-protection,identityserver4,Oauth 2.0,Asp.net Core Mvc,Openid Connect,Csrf Protection,Identityserver4,IdentityServer4是否具有现成的CSRF保护，或者我们是否需要配置任何东西来启用/增强它？我看到了在/connect/authorize和/signin oidc之间传递的“state”值，但我不确定这是否足够。我们正在使用无同意页面（内部应用程序）和ASP.NET MVC OIDC的混合流（如果重要）。根据规范的要求，IdentityServer会回显状态参数真正的保护发生在客户端库的逻辑中-例如，Microsoft OIDC中间件（受保护的）如果您正在构建自己的客户机库，那么

IdentityServer4是否具有现成的CSRF保护，或者我们是否需要配置任何东西来启用/增强它？我看到了在

/connect/authorize

和

/signin oidc

之间传递的“

state

”值，但我不确定这是否足够。我们正在使用无同意页面（内部应用程序）和ASP.NET MVC OIDC的混合流（如果重要）。

根据规范的要求，IdentityServer会回显状态参数

真正的保护发生在客户端库的逻辑中-例如，Microsoft OIDC中间件（受保护的）

如果您正在构建自己的客户机库，那么您必须自己构建该逻辑