Security openid connect 2.0和在仅http cookie中设置身份验证JWT
由于本地存储和会话存储都可以通过JavaScript访问,因此最好不要将身份验证JWT存储在其中任何一个中,以避免XSS攻击 由于OpenIDConnect 2.0是在一个单独的域上执行的,我们如何设置一个包含经过身份验证的JWT的服务器端HTTP专用cookie 我猜是这样的:Security openid connect 2.0和在仅http cookie中设置身份验证JWT,security,oauth-2.0,jwt,openid-connect,Security,Oauth 2.0,Jwt,Openid Connect,由于本地存储和会话存储都可以通过JavaScript访问,因此最好不要将身份验证JWT存储在其中任何一个中,以避免XSS攻击 由于OpenIDConnect 2.0是在一个单独的域上执行的,我们如何设置一个包含经过身份验证的JWT的服务器端HTTP专用cookie 我猜是这样的: 用户进入您的网站,然后单击“登录” 用户将被重定向到第三方OpenID connect 2.0提供程序 用户登录,现在被重定向到您选择的路径www.example.com/myredirectlogin 然后,当重定向
中列出了OpenID connect支持的所有流。如果您想登录到授权服务器并对一个单独的站点进行身份验证,那么您通常会使用“授权代码”流,它根本不会将ID令牌发送到浏览器。OpenID connect定义了其他流,但没有一个提到将ID令牌存储在cookie中-如何在客户端(您要验证的站点)和浏览器之间维护会话与验证用户是一个单独的问题。我在授权代码流中找到了答案: 步骤清单 OAuth 2.0和OIDC授权代码流