我目前正在为我们的本机 .net 应用程序实现 OIDC 流程的第一个版本/poc。当涉及到重定向 URL 时,我目前不确定我是否正确处理它,或者我所做的是否可能存在潜在的安全风险。 我目前正在做的事情如下:
我的“问题”是第二步。由于我们运行的是本机客户端,因此第二步中 OIDC 提供程序重定向到的重定向 URL 只是我创建的虚拟 URL,它完全不执行任何操作。在客户端应用程序中,我只需获取第二步中的重定向响应,提取授权代码并继续正常流程。任何时候都不会发生重定向。
这有效,我可以成功检索令牌,但我想知道我是否在此处的某个地方开放应用程序以解决安全问题。 为了清楚起见...我显然还在我的流程中使用了 ClientId、ClientSecret、代码质询和代码验证程序。我只是在步骤 1-3 中省略了它们以使问题更清楚。 我对任何意见都很高兴。预先感谢!
你一开始就不应该这样做。当您将用户发送到 OIDC 提供商时,这不应该在您的本机应用程序的上下文中(如 webview 或类似的),这就是重点。您不应该能够观察用户与提供者的会话中发生的情况,而这应该发生在真实的浏览器中。当提供程序重定向回来时,对于本机应用程序,重定向应该转到注册方案,例如 yourapp://,您的应用程序可以接收该方案,因为它在安装时注册了它。