OpenIddict Core 6.4.0版本发布：增强OAuth2/OpenID Connect安全性

OpenIddict Core是一个基于.NET平台的现代化开源身份认证框架，它实现了OAuth 2.0和OpenID Connect协议，为开发者提供了构建安全身份验证和授权系统的强大工具。6.4.0版本的发布带来了多项重要改进，特别是在安全性和跨平台支持方面。

主要特性更新

增强PAR端点安全性

本次更新在Pushed Authorization Request（PAR）端点中增加了对多种客户端认证方式的支持，包括：

• client_secret_basic：使用HTTP基本认证
• client_secret_post：通过POST表单提交客户端凭证
• private_key_jwt：使用JWT进行客户端认证

这项改进使得服务器能够在授权请求阶段就验证客户端身份，而不是等到令牌请求阶段才进行验证，大大提高了系统的安全性。PAR端点作为OAuth 2.0的安全扩展，通过将授权请求参数推送到服务器端存储，减少了前端渠道可能面临的安全隐患。

新增Bungie.net集成支持

OpenIddict.Client.WebIntegration包现在支持与Bungie.net（知名游戏《命运》系列背后的平台）的集成。这使得开发者可以轻松实现使用Bungie.net账号登录的功能，为游戏开发者提供了更多身份验证选择。

改进WWW-Authenticate头解析

框架对标准WWW-Authenticate HTTP响应头的解析能力进行了优化，这在客户端和验证堆栈中都有体现。WWW-Authenticate头是HTTP认证机制的核心部分，改进后的解析器能更准确地处理各种认证挑战，特别是在处理OAuth 2.0错误响应时。

平台兼容性改进

OWIN集成优化

OpenIddict客户端OWIN集成现在能够从依赖注入容器中解析IAppBuilder实例。当容器中可用时，系统会自动使用附加到应用程序属性（通常由主机提供）的ICookieManager，而不是默认的CookieManager实现。这一变化使得cookie管理更加灵活，能够更好地适应不同的托管环境。

跨平台系统集成

便携版（非操作系统特定版本）的OpenIddict.Client.SystemIntegration包现在可以在macOS上使用。需要注意的是，在macOS上不支持ASWebAuthenticationSession，只能使用系统浏览器认证模式。这一改进为跨平台开发者提供了更大的灵活性。

依赖项更新

所有.NET和第三方依赖项都已更新至最新版本，确保了框架的安全性和稳定性。定期更新依赖项是保持系统安全的重要实践，能够及时修复已知问题并获得最新功能。

总结

OpenIddict Core 6.4.0版本在安全性、平台兼容性和功能完整性方面都有显著提升。特别是PAR端点的客户端认证支持，为构建更安全的OAuth 2.0/OpenID Connect系统提供了坚实基础。对于需要实现现代身份验证系统的.NET开发者来说，这个版本值得考虑升级。