部署文档说明了这一点:
如果您在IIS中运行,则需要同步计算机密钥。如果您在IIS外部运行,则需要使用适用于Katana的Web场兼容数据保护程序。
我的问题是,同步机器密钥是唯一有效的IIS方法,还是数据保护方法也是一种选择?如果是这样,是否有理由选择机器密钥而不是数据保护器证书?
您可以使用IDataProtector中的DataProtector属性在IdentityServer 3中注册OWIN / Katana IdentityServerOptions。
没有理由你应该使用机器密钥,只要数据保护器是“安全的”并且其中使用的任何密钥在所有实例中都是相同的,这样所有IdentityServer实例都可以取消保护彼此的令牌。
我过去推荐IIS机器密钥的唯一原因是因为它是一种相对常见的方法,并且大多数管理员都能理解。