Question

В identityserver 4 размещается следующий код на apiresource

                .AddIdentityServerAuthentication(options =>
                {
                    options.Authority = _platformSettings.IdentityServerUrl;   
                    options.RequireHttpsMetadata = true; 
                    options.ApiName = "myapi";

                });

но это выглядит довольно незащищенным. Что мешает злодеям создать консольное приложение и использовать тот же код? Все, что им нужно знать, это имя моего apiresource в этом случае myapi.

Vidmantas Blazevicius · Answer 1 · 01 апреля 2019

Почему вы думаете, что это небезопасно? Ваши myapi будут принимать только токены, выпущенные и подписанные с разрешения _platformSettings.IdentityServerUrl. Вот как вы должны думать об этом.

Тот факт, что кто-то может создать консольное приложение и использовать один и тот же код, практически не имеет значения, потому что клиенты (ваши веб-приложения потребляют ресурсы API, а клиенты будут вызывать конечные точки в URL-адресе вашего размещенного приложения API, а не кто-то другой). .

Как identityserver4 защищает ApiResources?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как identityserver4 защищает ApiResources?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов