我正在尝试让用户使用本地帐户登录,然后使用社交帐户进行注册,以便我可以在自己的数据库中将两者链接在一起。这样,他们以后可以使用 B2C 并使用本地或社交提供商登录,最终在我的系统中使用相同的帐户。
诀窍似乎是安全地将信息从已登录的本地用户(例如我的该用户的数据库 ID)传递到社交提供者的注册过程,以便它可以在新用户的声明中返回。
我考虑将它添加到 AuthenticationOptions 的 RedirectUrl 中,但我无法弄清楚这可能有多不安全。如果该端点受 [Authorize] 属性保护,则用户在调用它之前必须经过身份验证。
将本地用户的数据库 ID 添加到重定向中似乎不安全。即使用户将通过身份验证,被盗的令牌和修改的查询字符串也会喜欢错误的帐户。
有没有办法通过 B2C 流程进行数据往返?
{EDIT} 忘了说这是一个网络应用。本机客户端我了解如何保存令牌。