Die Spezifikation empfiehlt die Verwendung des Parameters state
, um CSRF-Angriffsvektoren zu minimieren. Wenn der Authentifizierungsworkflow jedoch mit tokenbasierter Authentifizierung anstelle von sessionsbasierter Authentifizierung für die Benutzer des Konsumenten implementiert wird, wäre die Empfehlung zur Verwaltung des Status in Anbetracht dessen, dass er für eine Sitzung nicht festgelegt werden konnte.Openid Connect-Zustandsparameter ohne Cookies
0
A
Antwort
0
Der CSRF betrifft browserbasierte Benutzeragenten. Die state
sollte kryptographisch an den Benutzeragenten gebunden sein. Da der einzige Mechanismus zum Speichern der Bindung über ein Anfrage/Antwort-Paar, das für einen browserbasierten Benutzeragenten verfügbar ist, ein Cookie oder HTML-Speicher ist, sind Sie auf diese Optionen beschränkt.
Verwandte Themen
- 1. Caching mit Cookies ohne Caching Cookies
- 2. Scalatra Sitzung ohne Cookies
- 3. PHP Sitzung ohne Cookies
- 4. Benutzer/Browser Fingerabdrucks ohne Cookies
- 5. Ist CSRF ohne Cookies möglich?
- 6. IdentityServer4 facebook Autorisierung ohne Cookies
- 7. Was sind Sitzungen ohne Cookies?
- 8. OpenID in Django ohne lokale Site-Konten
- 9. Authentifizieren openID ohne Login durch Anbieter
- 10. Implementieren OpenID Connect ohne OIDC-client-js
- 11. OpenID Fehlermeldungen über python-openid
- 12. selbst ausgegebenes OpenID Provider vs OpenID Provider
- 13. OpenID Migration
- 14. Sessions Ohne Cookies in Tomcat Unterstützung
- 15. XmlHttpRequest CORS POST ohne Cookies gesendet
- 16. Löschen Sie Cookies in WebBrowser ohne Neustart
- 17. Authentifizierung/Autorisierung mit Cookies, ohne ASP.NET Identity
- 18. OmniAuth & openid: bestimmte Felder von OpenID-Provider
- 19. Google OpenId: Kein OpenID-Endpunkt gefunden (intermittierend)
- 20. Probleme mit openid-selector/dotnet openid
- 21. Multi-Tenant-Identitätsserver OpenID-Authentifizierung
- 22. Implementieren von OpenID mit PHP
- 23. OpenID-Integration
- 24. facebook OpenID
- 25. OpenID Java
- 26. OpenID-Äquivalenz
- 27. AOL OpenID?
- 28. Codeigniter, OpenID und .htaccess
- 29. OpenID Integration in Web-Site ohne lokale Datenbank Benutzerregistrierung
- 30. Authentifizierung über OpenId ohne Benutzer auf der Website des Anbieters