این مقاله به بررسی نحوه پیادهسازی ادعاهای مشتری در یک برنامه ASP.NET Core OpenID Connect با استفاده از OAuth Demonstrating Proof of Possession (DPoP) و OAuth Pushed Authorization Requests (PAR) میپردازد. هدف از این روش، اعتبارسنجی برنامه بدون استفاده از یک رمز عبور مشترک است.
در این روش، یک برنامه ASP.NET کد برای احراز هویت با استفاده از OpenID Connect و OAuth PAR تنظیم شده است. این برنامه یک کلاینت محرمانه OIDC است و از یک ادعای مشتری برای اعتبارسنجی برنامه استفاده میکند. ایجاد یک توکن JWT برای ادعای مشتری با استفاده از متد `CreateClientToken` انجام میشود. این توکن به عنوان بخشی از درخواست مجوز push در جریان OpenID Connect کد ارسال میشود.
این توکن با استفاده از یک کلید خصوصی امضا میشود و کلید خصوصی هرگز برنامه را ترک نمیکند. کد نمونهای از نحوه ایجاد این توکن با استفاده از کتابخانههای .NET و RSA نشان داده شده است. همچنین، یک کلاس هندلر OpenID Connect برای مدیریت توکنهای OAuth DPoP اضافه شده است تا از دست رفتن رویدادهای OIDC جلوگیری شود.
در نهایت، این مقاله به بررسی رویدادهای `OnPushAuthorization` و `OnAuthorizationCodeReceived` میپردازد که برای افزودن ادعای مشتری به جریان OIDC استفاده میشوند. این روش به توسعهدهندگان .NET کمک میکند تا امنیت برنامههای خود را با استفاده از ادعاهای مشتری و استانداردهای OAuth DPoP و PAR افزایش دهند.
مشاهده مطلب اصلی