После получения токена доступа с гибридным потоком или потоком кода авторизации, чтобы скрыть их от браузера, кажется глупым использовать SaveTokens = true в промежуточном программном обеспечении OpenIdConnect (ASP.NET Core), чтобы они снова оказались в браузере.
Как лучше хранить токен доступа с помощью промежуточного программного обеспечения?
Используя SaveTokens, промежуточное ПО сохраняет токены в cookie вместе с утверждениями пользователей. Хотя этот файл cookie может храниться в браузере, он защищен, поэтому только это приложение может его прочитать. Код браузера или на стороне клиента не может прочитать файл cookie. Таким образом, они на самом деле не попадают в браузер (как если бы они использовали неявный тип предоставления).
В противном случае вам нужно будет создать хранилище токенов, ища токены либо по аутентифицированному пользователю, либо по сеансу.
В ASP.NET Core Identity есть таблица для хранения токенов для пользователя, который вы можете использовать, но тогда это будет означать, что все ваши приложения должны быть интегрированы с библиотекой ASP.NET Identity, и к токену можно будет получить доступ из любого приложения.
Есть несколько ключевых отличий от неявного потока, которые делают его значительно более безопасным:
В конечном итоге они отображаются в браузере как Secure и HttpOnly. файлы cookie, что означает, что они:
Файлы cookie также зашифрованы и могут быть прочитаны только серверным приложением ASP.NET Core. Таким образом, даже если злоумышленник каким-то образом получит их, для их расшифровки потребуется доступ к серверу или ключ шифрования, используемый поставщиком защиты данных ASP.NET Core.
