Является ли наличие полного запроса OpenIddict в ReturnUrl для моей страницы входа в систему стандартной и безопасной практикой? .NET 8.0
Как следует из названия, я реализую поток авторизации в своем приложении Angular/.NET API с помощью PKCE. Мое угловое приложение инициирует поток аутентификации, который, в свою очередь, направляет пользователя на мою страницу входа в систему, размещенную в моем API.
Чтобы завершить поток после проверки учетных данных пользователя, RedirectUrl содержит необходимую информацию для повторного входа в поток аутентификации в качестве проверенного пользователя. в результате мой URL-адрес страницы входа выглядит примерно так.
Я заменил некоторые значения, пытаясь уменьшить размер URL-адреса.
https://localhost:7208/Account/Login?ReturnUrl=%2Fconnect%2Fauthorize%3Fclient_id%3Dtest_client%26redirect_uri%3Dhttp%253A%252F%252Flocalhost%253A4200%252Faccount%252Fauth_callback%26response_type%3Dcode%26scope%3Dopen id%2520profile%2520offline_access %26state%state_value%26code_challenge%full_challenge_code%26code_challenge_method%3DS256%26response_mode%3Dquery
Является ли это стандартной практикой для такого рода аутентификации и безопасно ли это?
Я исследовал эту тему, но не смог прийти к какому-либо твердому выводу, основанному на этом конкретном случае использования.
Ответы 1
Короче говоря, да, это стандарт для сервера безопасных токенов (STS). Я не помню, касается ли это OAuth или OIDC, это одно или другое. Чтобы разобрать это:
- Ваш ReturnUrl указывает на /connect/authorize. Это аутентифицированная конечная точка. Это похоже на веб-сайты, которые перенаправляют вас на страницу входа в систему для доступа к ней. После входа в систему эта конечная точка обрабатывает состояние аутентификации пользователя, чтобы генерировать токены, которые запрашивает клиентское приложение. (Это более сложно в зависимости от того, какой поток грантов вы используете)
- Идентификатор клиента передается как способ для клиента уведомить сервер, какое приложение пытается аутентифицироваться.
- URI перенаправления — это URL-адрес обратного вызова клиентского приложения после завершения процесса OIDC-сервером. Это нормально, поскольку клиент должен предоставить свой обратный вызов, И сервер должен зарегистрировать его как действительный обратный URL-адрес, чтобы он мог принять запрос.
- Области — это разрешения, которые запрашивает клиент. Иногда они указаны в конфигурации openid на сервере, но их также необходимо зарегистрировать для приложения на стороне сервера.
- Остальные параметры настраиваются для того, как должен обрабатываться вызов сервера.
Подводя итог, да, это все нормально. Это настолько безопасно, насколько это возможно.