Возможно ли иметь неявную аутентификацию потока без файлов cookie?

Question

Возможно ли иметь неявную аутентификацию потока без файлов cookie?

Я работаю над проектами, которые используют как.NET Framework, так и.NET Core, используя ID Server 3/4 с уважением (и, конечно, отдельно), и я узнал о неявном потоке и о том, как он работает для клиентов Javascript. Я заметил, что он использует куки, и я думаю, что именно поэтому происходит много переадресаций и т. Д.

Но задним числом это заставило меня задуматься о том, будет ли лучше предыдущий проект, если бы мы тогда знали о неявном потоке, но без использования файлов cookie и просто полагаясь на хранилище сеансов. Было бы это возможно?

0

cookies identityserver4 identityserver3 implicit-flow

Источник

user802755 26 окт '18 в 08:49

1 ответ

Другие вопросы по тегам cookies identityserver4 identityserver3 implicit-flow

user3274800 26 окт '18 в 14:53 2018-10-26 14:53 · Answer 1 · 2018-10-26 14:53

Использование неявного потока не означает, что вы вынуждены использовать куки для хранения пользовательских данных / токенов.

Да, для неявного клиента вы можете хранить токены в хранилище сеансов. Это значение по умолчанию для популярных клиентских библиотек, таких как oidc-client.

Просто учтите, что при таком подходе пользовательские данные и токены видны браузеру, пользователю и любому другому JS, работающему на вашем сайте.