我的登录控制器动作需要Redirect(returnUrl);另一个具有[Authorize]属性的控制器动作。登录控制器操作生成访问和刷新令牌。目前,我将访问令牌附加returnUrl为查询字符串,然后将其拾取JwtBearerEvents.OnMessageReceived并成功重定向到另一个控制器操作。但是,这会在浏览器地址栏中公开安全令牌字符串。最佳实践是什么以及如何安全地实现这一目标?
问问题
120 次
我的登录控制器动作需要Redirect(returnUrl);另一个具有[Authorize]属性的控制器动作。登录控制器操作生成访问和刷新令牌。目前,我将访问令牌附加returnUrl为查询字符串,然后将其拾取JwtBearerEvents.OnMessageReceived并成功重定向到另一个控制器操作。但是,这会在浏览器地址栏中公开安全令牌字符串。最佳实践是什么以及如何安全地实现这一目标?