問題タブ [websecurity]

意図した受信者だけが見ることができ、他の人には見えず、すべての検索エンジンによってインデックス化されず、パブリック検索結果として表示されるプライベート Web ページをホストしたいと考えています。

私は独自のドメインを持っており、有料のプレミアム ホスティング プランを利用しています。

Web ページは index.html、css および js ファイルだけで構成されています。

他の人が開こうとすると、アクセスが拒否されたり、エラーが発生したりするようにするにはどうすればよいですか。そして、私がURLを共有した唯一の人がそれにアクセスできますか?

私は、ログイン セキュリティに同じパッケージを約 8 年間使用している会社で働いています。彼らは現在、WebMatrix.WebData.WebSecurity を使用しています。

ユーザーがログインすると、コードは次のようになります

私の主な懸念は、これを 8 年間使用しており、このプラグインに関する多くの情報を見つけることができないことです。私は主に、それが使用する暗号化と、暗号化が今日でも信頼できるかどうかを調べようとしています.

ドキュメント docs.microsoft を見てみましたが、まだ運がありません

https://docs.microsoft.com/en-us/dotnet/api/webmatrix.webdata.websecurity?view=aspnet-webpages-3.2

これを交換する必要があるかどうか、または使用する暗号化を見つける必要があるかどうかについてのヘルプ/アドバイスは素晴らしいでしょう.

偽造防止トークンはリクエストのどこに配置すればよいですか? （最新の基準による）

• ヘッダ
• フォーム本体

マイクロサービスのセットアップで複数の異なる API サービスに接続する複数のクライアント アプリケーションがあります。ユーザー認証に OIDC を使用し、次にクライアント アプリの OAuth2 アクセス トークンを使用して API サービス (リソース サーバー) を承認します。

必要なスコープを持つアクセス トークンがあれば、多くの異なるアプリが同じ API を呼び出すことができます。API サーバーは、アクセス トークンにクレームが存在するかどうかのみをチェックして、呼び出しを許可します。

API サービスの 1 つ (たとえば、チケット予約アプリ) は、アプリ固有の検証を行ったり、請求などのためにログを記録したりするために、発信者を知る必要があります。

Access Token だけで発信者を特定するにはどうすればよいJWTでしょうか? OIDC はazp、承認された当事者が の誰であったかを伝える手段として言及していますがIdentity Token、 に対して定義された同等のものはありませんAccess Token。誰にもアイデアはありますか？