1

我目前正在开发一个将 IdentityServer4 用作授权/身份验证服务器的项目。我们只有一个客户端 (Angular) 和一些基于资源的 API (ASP.NET Core)。目前我们使用代码流 (PKCE) 并同时引用令牌,利用 IdentityServer4 提供的令牌自省端点。

同时使用 PKCE 和参考令牌是否过大?从 API 请求始终调用 IdentityServer4 的令牌自省端点会为收到的每个资源请求添加另一个请求。我们想知道使用引用令牌是否比仅使用带有普通访问令牌的 PKCE 给我们带来任何安全优势。

谢谢!

4

1 回答 1

0

PKCE 仅用于保护初始用户身份验证,之后不再涉及 PKCE,您将 PKCE 用于参考和普通 JWT 令牌。

如果您担心额外查找请求的性能,那么您应该看看这个视频

与 Mentor 一起提高 ASP.NET Core 网络研讨会中的 JWT 性能 - Marcin Hoppe

于 2020-09-28T09:25:32.627 回答