0
이 사양에서는 CSRF-LI 공격 경로를 완화하는 데 도움이되도록 state 매개 변수를 사용할 것을 권장합니다. 그러나 세션에서 설정할 수없는 상태를 관리하기위한 권장 사항은 소비자의 사용자를위한 세션 기반 인증 대신 토큰 기반 인증을 사용하여 인증 워크 플로를 구현하는 경우입니다.쿠키가없는 Openid Connect 상태 매개 변수
A
답변
0
CSRF는 브라우저 기반 사용자 에이전트에 관한 것입니다. state은 사용자 에이전트에 암호 학적으로 바인딩되어야합니다. 브라우저 기반 사용자 에이전트가 사용할 수있는 요청/응답 쌍을 통해 바인딩을 저장하는 유일한 메커니즘은 쿠키 또는 HTML 저장소이므로 이러한 옵션에만 제한됩니다.
관련 문제
- 1. OpenID Connect 프롬프트 매개 변수는 다음과 같아야합니다.
- 2. 쿠키가없는 상태 유지
- 3. OpenID Connect 유스 케이스
- 4. SignalR 및 OpenId Connect
- 5. Python에서 OpenID Connect Provider
- 6. Keycloak, openId-connect userInfo
- 7. OpenID Connect 서버 만들기
- 8. OpenID Connect over ADFS
- 9. OpenId + Facebook Connect
- 10. openid connect in identityserver4
- 11. Okta는 OIDC (OpenID Connect) 로그 아웃을 지원합니까?
- 12. 쿠키가없는 PHP 세션 변수
- 13. OpenId Connect Provider Python 3
- 14. OAuth 2.0 및 OpenID Connect
- 15. SPA OpenID Connect 보안 문제
- 16. OpenId Connect, SSO 및 SPA
- 17. asp.net mvc 쿠키가없는 전역 변수
- 18. OWIN의 SecurityTokenSignatureKeyNotFoundException Google에 연결하는 OpenID Connect 미들웨어
- 19. Scalatra 쿠키가없는 세션
- 20. Facebook Connect - 게시 상태
- 21. Activator.GetObject - 상태 매개 변수 사용
- 22. DotNetOpenAuth OAuth2.0 상태 매개 변수
- 23. 전자를 사용하여 OpenID Connect 클라이언트 에뮬레이션하기
- 24. OpenID-Connect, Google+ iOS SDK, 브라우저 없음
- 25. SPA + WebAPI 용 OpenID Connect 미들웨어
- 26. Google 인증 : OAuth2.0 대 OpenID Connect
- 27. OpenId Connect Liferay의 의존 당사자 구현
- 28. invalid_grant PayPal에서 OpenID Connect 토큰을 얻으려고 시도합니다.
- 29. openid connect idtoken 's iss 변경 방법
- 30. OpenID Connect : 리소스 소유자 암호 자격 증명