identityServer4 中,/.well-known/openid-configuration 配置文件,被网监网络安全扫描认定为配置信息泄露,现在思考了各种方法,感觉只有通过改IDS4中的源代码,将访问这个文件的地方,改成访问本地配置文件,才能解决。现在编译又遇到版本问题,需要熟悉的兄弟帮忙。问题解决追加五百元现金感谢!
3条回答 默认 最新
天天进步2015 2022-09-06 10:23关注如果此应用程序暴露在公共网络中,那么您需要开始询问自己是否希望攻击者知道配置端点提供的信息。
攻击者只知道应用程序是一个身份验证服务器、到各种端点的路径、您支持的 OAuth2 流类型,以及其他一些小细节。如果您有面向公众的文档,那么这只是它的机器可读版本。
不要专注于阻止对配置端点的访问,而是确保您的 Auth 服务器端点已通过身份验证。在分发令牌之前,您应该检查 Client Id 和 Client Secret 是否存在且正确。
参考 oauth.com (该原理适用于所有端点):
If the introspection endpoint is left open and un-throttled, it presents a means for an attacker to poll the endpoint fishing for a valid token. To prevent this, the server must either require authentication of the clients using the endpoint, or only make the endpoint available to internal servers through other means such as a firewall.
本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏举报
分享
- 2022-09-06 07:49回答 3 已采纳 如果此应用程序暴露在公共网络中,那么您需要开始询问自己是否希望攻击者知道配置端点提供的信息。 攻击者只知道应用程序是一个身份验证服务器、到各种端点的路径、您支持的 OAuth2 流类型,以及其他一些小
- 2019-03-23 15:06回答 3 已采纳 问题已经解决。 在生产环境下 IS4要求server和client都做https部署。之前我identityserver是https,Mvc client是http,所以导致了错误。 本次问题
- 2019-08-17 12:16回答 1 已采纳 https://blog.csdn.net/zzulishulei/article/details/76685915 core和传统的并无不同。看这个。
- 2021-05-04 06:21IdentityServer4.Templates IdentityServer4的dotnet新模板 dotnet new is4empty 创建一个没有UI的最小IdentityServer4项目。 dotnet新is4ui 将快速入门UI添加到当前项目中(例如,可以添加到is4empty之上) ...
- 2015-09-06 06:28回答 3 已采纳 Right after I asked the question, CoreOS released "dex" as an open source OpenID provider at https
- 2022-06-17 15:38.net core 微服务 独立...dotnet new -i IdentityServer4.Templates dotnet new is4inmem --name Idp NuGet安装:Microsoft.AspNetCore.Authentication.JwtBearer NuGet安装:IdentityServer4.AccessTokenValidation
- 2021-10-03 05:30IdentityServer4 is an OpenID Connect and OAuth 2.0 framework for ASP.NET Core.
- 2022-12-04 17:171 启动把所有项目的启动方式修改为:“IIS Express”4.2 设定“JwtBearer”令牌(Token)缓冲过期时间为:04.2.1 通过“IdentityServer4.AccessTokenValidation”中间件设定//通过“IdentityServer4....
- 2021-04-06 09:57身份服务器
- 2021-08-18 16:49.net core IdentityServer4+Ocelot+.netcoreAPI
- 2023-05-21 19:43【ASP.NET编程知识】基于.net4.0实现IdentityServer4客户端JWT解密.docx
- 2021-10-10 19:01欢迎使用 IdentityServer4(最新) IdentityServer4 是用于 ASP.NET Core 的 OpenID Connect 和 OAuth 2.0 框架。
- 2022-06-21 16:21identityserver4 授权码模式 identityserver4 授权码模式 identityserver4 授权码模式
- 2022-09-26 17:21.NET 6 最简单最容易理解的Identityserver4客户端授权模式源码
- 2020-10-17 23:31主要为大家详细介绍了基于.net4.0实现IdentityServer4客户端JWT解密,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
- 2020-10-09 15:36.net core 3.1 IdentityServer4实现单点登陆,包含三块项目代码,base为登陆中心,mall和erp是子系统,其中一个登陆后,刷新另外两个系统,状态会变成已登陆状态
- IdentityServer4.LdapExtension IdentityServer4 Ldap扩展( 或ActiveDirectory )。 安装 该插件易于安装到您的解决方案中。 使用.Net Core 3.1和.Net 5.0构建。 可以通过搜索软件包IdentityServer.LdapExtension...
- 2021-05-22 23:02.net core 3.1实现IdentityServer4(Client Credentia)客户端凭据模式,有各种注意事项
- 2023-06-13 18:52快进来,带你入坑~~~
- 没有解决我的问题, 去提问
问题事件
系统已结题
9月14日
已采纳回答
9月6日-
创建了问题
9月6日
悬赏问题
- ¥50 易语言把MYSQL数据库中的数据添加至组合框
- ¥20 求数据集和代码#有偿答复
- ¥15 关于下拉菜单选项关联的问题
- ¥20 java-OJ-健康体检
- ¥15 rs485的上拉下拉,不会对a-b<-200mv有影响吗,就是接受时,对判断逻辑0有影响吗
- ¥15 使用phpstudy在云服务器上搭建个人网站
- ¥15 应该如何判断含间隙的曲柄摇杆机构,轴与轴承是否发生了碰撞?
- ¥15 vue3+express部署到nginx
- ¥20 搭建pt1000三线制高精度测温电路
- ¥15 使用Jdk8自带的算法,和Jdk11自带的加密结果会一样吗,不一样的话有什么解决方案,Jdk不能升级的情况