Возможно ли иметь неявную аутентификацию потока без файлов cookie?

Question

Я работаю над проектами, в которых используются .NET Framework и .NET Core, использующие ID Server 3/4 с уважением (и, конечно, отдельно), и я узнал о неявном потоке и о том, как он работает для клиентов Javascript.Я заметил, что он использует куки, и я думаю, что именно поэтому происходит много переадресаций и т. Д.

Но, оглядываясь назад, я задался вопросом, будет ли у этого предыдущий проект лучше, если бы мы знали об Implicitпоток, но без использования куки и просто полагаясь на хранение сессии.Было бы это возможно?

Answer 1

Использование неявного потока не означает, что вы вынуждены использовать куки для хранения пользовательских данных / токенов.

Да, для неявного клиента вы можете хранить токены в хранилище сеансов. Это значение по умолчанию для популярных клиентских библиотек, таких как oidc-client .

Просто имейте в виду, что при таком подходе пользовательские данные и токены видны браузеру, пользователю и любому другому JS, работающему на вашем сайте.