0
Q
生成安全訪問令牌
A
回答
0
訪問令牌不需要存儲在持久性存儲中(另一方面通常會刷新令牌)。在使用Microsoft.Asp.Identity庫時,在asp.net web API中實現的常見場景是access_token是根據請求生成的,其方式與在使用FormsAuthentication時成功登錄後將Cookie發送回客戶端的方式相同。
訪問令牌是一個序列化的ClaimsPrincipal,使用Asp.Net機器密鑰加密,然後使用Base64編輯。
更多或更少的,每次客戶端向所述API請求與「授權」報頭存在(像 Authorize: Bearer asdfdsgwe.......YOUR_ACCESS_TOKEN........2334sdfs===)服務器只需要得到來自的base64編串Byte[]然後使用計算機密鑰解密最後反序列化回IPrincipal。此過程在WebAPI的生命週期中儘早發生,並且填充了System.Threading.Thread.CurrentPrincipal。
這就是說access_token本身包含了所有必要的信息來標識當前用戶而不需要返回到數據庫。
UPDATE 如果你不想使用Microsoft.Asp.Identity爲您創造access_tokens。然後我推薦使用System.IdentityModel.Tokens.Jwt Nuget Package來推出你自己的實現。請記住,這不是一件容易的事。還請查看一個出色的開源參考實現思想:Thinktecture Identity Server v3
希望這有助於。
相關問題
- 1. ASP.Net - 生成安全令牌
- 2. 生成LinkedIn訪問令牌
- 3. AngularJS訪問令牌安全問題
- 4. 生成加密的安全令牌
- 5. 顯示OAuth訪問令牌安全嗎?
- 6. 安全地存儲訪問令牌
- 7. Spring安全OAuth2 - 驗證訪問令牌
- 8. 離線訪問令牌的安全性
- 9. 春季安全Twitter訪問令牌
- 10. Facebook用戶訪問令牌安全
- 11. ASP.NET OAuth:如何生成訪問令牌?
- 12. 手動生成OAuth訪問令牌
- 13. 創建instagram訪問令牌生成器
- 14. 如何爲LinkedIn生成訪問令牌?
- 15. 在Bigcommerce中生成訪問令牌
- 16. 生成單一訪問令牌
- 17. 生成令牌以訪問Google帳戶
- 18. 如何生成Facebook訪問令牌?
- 19. 生成永久Instagram訪問令牌
- 20. csrf令牌,安全問題?
- 21. Trello令牌安全問題?
- 22. 使用刷新令牌生成訪問令牌的查詢
- 23. 訪問不安全資源時訪問令牌無效oauth2
- 24. Oauth2訪問令牌安全問題+ angular 2
- 25. Salesforce安全令牌
- 26. 令牌生成
- 27. Facebook的訪問令牌生存問題
- 28. 訪問令牌?
- 29. 訪問令牌
- 30. AWS Cognito生成的令牌URL安全嗎?