我在我的 WEB Api 應用程式中使用 OKTA。身份驗證成功后,我在會話中獲得了 cookie,但我不明白為什么我沒有 JWT 令牌(我想為這個應用程式制作 Angular 客戶端)。我在這里到底用的是什么?有人有經驗嗎?
盡管 openId 是基于 JWT 的,但為什么我沒有 JWT?當我在 JWT 解碼器中粘貼每個 cookie 時,它??是無效的...
uj5u.com熱心網友回復:
您在瀏覽器中看到的 cookie 不是您的令牌。它是您的加密會話 cookie。
如果您已將系統配置為將您的令牌保存在 cookie 中,則此 cookie 可能包含您的令牌。在您的情況下,您有 cookie C1 C2 并且它們一起非常大,這可能意味著它也包含令牌。
您可以通過查看前兩個字符來判斷字串是否為 JWT 令牌。如果它以 ey..... 開頭,那么它就是一個 JWT 令牌。
您不應該嘗試從 Angular 訪問這些 cookie,并且從安全角度來看,在瀏覽器中存盤令牌是一個壞主意。請查看 BFF 模式或嘗試僅在后端處理令牌。看
- https://blog.bitsrc.io/bff-pattern-backend-for-frontend-an-introduction-e4fa965128bf
- https://leastprivilege.com/2020/03/31/spas-are-dead/
- https://leastprivilege.com/2019/01/18/an-alternative-way-to-secure-spas-with-asp-net-core-openid-connect-oauth-2-0-and-proxykit/
- https://curity.io/resources/learn/spa-best-practices/
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/381700.html
上一篇:.netcore第三方圖形驗證