我在这里经历了不同的帖子,我现在对如何实现令牌的安全性更加困惑。. 我目前实现了一个身份验证服务(MVC4 + webAPIs)和一个依赖方(MVC4 应用程序)。依赖方 (RP) 将客户端重定向到身份验证服务 (AS)。AS 创建一个令牌,将其提供给客户端。客户将其交给 RP。RP 添加了更多声明等。这是我想要保护令牌的方法:HashingToken the token using HMAC SHA 256。如何在 AS 和 RP 之间共享密钥?我是否必须对其进行签名并将其添加到有效负载中并加密?
- 我想使用 AES/Rijndael 算法/加密令牌。再次,我如何与 RP 共享密钥?
- RP 将首先解密令牌并使用指定的算法对其进行解码,该算法使用共享的密钥来访问有效负载(时间戳、受众、问题等)。
- 我正在滑动令牌到期日期。有一个字段 jit 需要是唯一的以避免重放攻击。我目前正在用 GUID 填充它。我不确定如何在 RP 中验证/使用它
我目前在 AS 和 RP 之间共享用于散列和加密的对称密钥。
我是第一次从事安全工作..虽然我已经阅读了多个帖子,但我还没有完全理解,并且在阅读了很多帖子后有点困惑。如果有人可以帮助..