IdentityServer4 中的 CSRF 保护

Posted

技术标签:

【中文标题】IdentityServer4 中的 CSRF 保护【英文标题】:CSRF protection in IdentityServer4 【发布时间】:2016-12-07 14:01:49 【问题描述】:

IdentityServer4 是否具有开箱即用的 CSRF 保护,还是我们需要配置任何东西来启用/加强它?我已经看到“state”值在/connect/authorize/signin-oidc 之间传递,但我不确定它是否足够。我们正在使用没有同意页面(内部应用程序)和 ASP.NET MVC OIDC 的混合流(如果它很重要)。

【问题讨论】:

【参考方案1】:

根据规范的要求 - IdentityServer 回显状态参数。

真正的保护发生在客户端库的逻辑中——例如Microsoft OIDC 中间件(受保护)。

如果您要构建自己的客户端库,则必须自己构建该逻辑。

【讨论】:

以上是关于IdentityServer4 中的 CSRF 保护的主要内容,如果未能解决你的问题,请参考以下文章

何时需要使用令牌保护表单(CSRF 攻击)?

CSRF的原理与防御 | 你想不想来一次CSRF攻击?

Identityserver4 中的 AllowedGrantTypes 差异(在实践中)

Blazor 客户端中的 Identityserver4 未授权 api

identityServer4 中的概念(Scope,claim)

是否可以将 IdentityServer4 中的用户注销为其他用户?