IdentityServer4簽名證書：使用公共可用的證書+密鑰？

Question

我們目前只使用引用令牌作爲訪問令牌。這有我想如果我們能夠通過包括一個可笑的長期有效性的自簽名X509證書跳過整個證書管理地獄，並將它與我們的源代碼（私人github上）存儲 - 停止尖叫，這可能是有意義很快。

我看到的最糟糕的情況是有人能夠訪問私鑰（即任何員工或有權訪問我們的github存儲庫的人）都可以發佈任何JWT並在客戶端使用它（角度） - 但這是客戶端 - 側。這些API通過IdentityServer訪問令牌驗證進行保護，並且所有客戶端都被配置爲使用引用令牌。

另一個可能的缺陷是，如果我們曾經補充說，使用智威湯遜訪問令牌的客戶端，但我實在不明白這種事情發生。

對我來說，使用源代碼控制下的長壽命自簽名的證書似乎是這種情況下最簡單和好（-ish）解決方案- 除非我忽略了一些東西。我們會從來沒有做SSL證書或類似的。我只關注IdentityServer4簽名憑證以及專用標記的使用。

否則我們將不得不以某種方式獲得證書延期（在運行時），證書管理等運行。我想我們可以實現ISigningCredentialStore管理證書所在的加載 - 但仍然留給我們如何處理在泊塢羣證書（或只是簡單的Docker容器）的問題。

我失去了一些東西在這裏？這個解決方案會有什麼缺陷嗎？

Answer 1

你能不能僅僅看它呢？

這樣

var cert = new CertificateService().GetCertificate(appSettings.CertificateName, StoreName.TrustedPeople, StoreLocation.LocalMachine); 

services    
      .AddSigningCredential(cert);