Можно ли выставить штамп безопасности из Asp.Net Core Identity в качестве требования для OIDC

Question

Я использую IdentityServer4 с Asp.Net Core Identity, и я хотел бы проверить в моем клиенте MVC (который подключен к IdentityServer4), что SecurityStamp пользователя изменился.

Моя идея разоблачитьSecurityStamp как заявление в id_token и проверить его в моем MVC-клиенте в некоторых случаях в Cookie промежуточном программном обеспечении.

Если отметка безопасности пользователя изменилась, необходимо будет снова войти в систему.

Я хочу создать эту поездку, особенно потому, что я хотел бы проверить, изменились ли роли пользователя.

1) Является ли хорошим вариантом выставить SecurityStamp как заявку?

2) Есть ли что-то, как проверить, действует ли штамп безопасности пользователя в OIDC?Или для этого нужно создать собственную конечную точку?Нравится собственный API?

Answer 1

Мы сделали это, и это работает хорошо. Я возвращаю его как требование st в токенах, а также через конечную точку информации о пользователе, чтобы клиенты могли легко проверить, изменились ли они.

Затем мы сделали требование, чтобы (внутренние) клиенты периодически проверяли через конечную точку userinfo, что st не изменилось. У нас также есть пользовательская реализация олицетворения, и клиенты таким же образом проверяют отзыв предоставления олицетворения.

Итак, вкратце - да, это хорошая идея (IMO), и нет, вам не нужно создавать API - просто предоставьте его через конечную точку userinfo.