Как применить только Https только запрос к identityserver4

Question

IdentityServer4 настроен и развернут в службе приложений Azure. Я использовал собственный сертификат SSL для подписи токенов.Все работает нормально, однако я хочу заставить сервер идентификации получать запросы только от клиентов https и в противном случае выдавать ошибку.

Я прочитал эту часть документации на identityserver4 (http://docs.identityserver.io/en/latest/topics/crypto.html?highlight=HTTPS), где говорится:" Мы не навязываем использование HTTPS, но для производства это обязательно для каждого взаимодействия с IdentityServer. "

Просто было интересно, возможно ли принудительное выполнение только запроса клиента https.

Любая помощь или указатели с благодарностью

Answer 1

Вы можете принудительно применить заголовок HSTS и перенаправление HTTPS с помощью следующих вызовов в методе Configure в классе запуска.

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
 //...
 app.UseHsts();
 app.UseHttpsRedirection();
 //...
}

Для получения информации обо всех параметрах конфигурации и рекомендациях см. Эту ссылку: https://docs.microsoft.com/en-us/aspnet/core/security/enforcing-ssl

Answer 2

Обычно это что-то, что вы настраиваете на уровне веб-сервера / менеджера трафика, а не на уровне приложения (хотя, конечно, вы также можете иметь логику приложения для ее применения).

Это должно быть полезно: https://docs.microsoft.com/en-us/azure/app-service/app-service-web-tutorial-custom-ssl

Также проверьте заголовок HSTS: https://www.owasp.org/index.php/HTTP_Strict_Transport_Security_Cheat_Sheet

А также рассмотрите возможность использования надежной Политики безопасности контента, которая блокируетили обновляет небезопасные запросы ресурсов.например, Content-Security-Policy: upgrade-insecure-requests; block-all-mixed-content; Проверить https://report -uri.com / home / generate и https://scotthelme.co.uk/csp-cheat-sheet/