在 ASP NET Core 中使用 OpenID Connect 进行身份验证时,需要考虑以下几个安全问题:
颁发令牌的安全性:OpenID Connect 令牌是通过 ID 提供者颁发的。在应用中,需要对颁发方的安全性进行核查,避免伪造令牌被接受。
令牌存储的安全性:在存储用户令牌时,需要对其进行加密和安全存储,以避免泄露或被盗用。
连接的安全性:OpenID Connect 使用 HTTPS 来保护通信。在应用中需启用 HTTPS,确保所有连接都是安全的。
ASP NET Core 提供了一些处理 OpenID Connect 安全性问题的解决方案。其中包括使用签名和密钥来验证颁发方、使用 Data Protection API 对令牌进行加密存储以及启用 HTTPS 连接。
以下示例演示如何使用 Data Protection API 来加密和解密 OpenID Connect 返回的令牌:
// Startup.cs
public void ConfigureServices(IServiceCollection services)
{
// ...
services.AddDataProtection()
.PersistKeysToFileSystem(new DirectoryInfo(@"c:\temp-keys\"))
.SetDefaultKeyLifetime(TimeSpan.FromDays(14));
services.AddAuthentication(options =>
{
options.DefaultScheme = CookieAuthenticationDefaults.AuthenticationScheme;
options.DefaultChallengeScheme = OpenIdConnectDefaults.AuthenticationScheme;
})
.AddCookie(CookieAuthenticationDefaults.AuthenticationScheme, options =>
{
// ...
})
.AddOpenIdConnect(OpenIdConnectDefaults.AuthenticationScheme, options =>
{
// ...
options.TokenValidationParameters = new TokenValidationParameters
{
NameClaimType = JwtClaimTypes.Name,
RoleClaimType = JwtClaimTypes.Role,
};
options.Events = new OpenIdConnectEvents
{
OnTicketReceived = async context =>
{