首頁(yè) 猿問(wèn) identityserver4...

identityserver4 如何保護(hù) ApiResources？

C#

繁華開(kāi)滿天機(jī) 2022-11-21 16:55:49

在 identityserver 4 中，將以下代碼放在 apiresource 上 .AddIdentityServerAuthentication(options => { options.Authority = _platformSettings.IdentityServerUrl; options.RequireHttpsMetadata = true; options.ApiName = "myapi"; });但它似乎很不受保護(hù)。如何阻止某些作惡者創(chuàng)建控制臺(tái)應(yīng)用程序并使用相同的代碼？在這種情況下，他們只需要知道我的 apiresource 的名稱即可myapi。

查看完整描述

1 回答

HUWWW

TA貢獻(xiàn)1874條經(jīng)驗(yàn) 獲得超12個(gè)贊

為什么你認(rèn)為這是不安全的？您myapi將只接受由的權(quán)威發(fā)行和簽署的令牌_platformSettings.IdentityServerUrl。這就是您需要考慮的方式。

有人可以創(chuàng)建一個(gè)控制臺(tái)應(yīng)用程序并使用相同的代碼這一事實(shí)實(shí)際上是無(wú)關(guān)緊要的，因?yàn)榭蛻舳耍木W(wǎng)絡(luò)應(yīng)用程序正在消耗 api 資源，并且客戶端將調(diào)用您托管的 api 應(yīng)用程序 url 上的端點(diǎn)，而不是其他人。

反對(duì) 回復(fù) 2022-11-21