首页
/ Duende IdentityServer 7.0.0 RC1发布:安全认证框架的重大升级

Duende IdentityServer 7.0.0 RC1发布:安全认证框架的重大升级

2025-07-01 16:00:52作者:邓越浪Henry

项目简介

Duende IdentityServer是一个功能强大的开源身份认证和授权框架,专为现代应用程序设计。它实现了OpenID Connect和OAuth 2.0协议,为应用程序提供安全的身份验证和API访问控制解决方案。作为.NET生态系统中领先的身份认证服务器,IdentityServer广泛应用于企业级应用、微服务架构和云原生环境中。

主要更新内容

1. .NET 8全面支持

IdentityServer 7.0.0将目标框架升级至.NET 8,这不仅确保了与微软最新支持版本的兼容性,还带来了性能提升和新特性支持。特别值得注意的是,新版本采用了.NET 8引入的TimeProvider抽象,提供了更精确的时间管理能力,同时也使依赖时间的代码更易于测试。

2. 推送授权请求(PAR)支持

IdentityServer 7.0.0引入对推送授权请求(PAR)标准的支持,这是一项重要的安全增强功能。PAR将授权参数从浏览器前端通道转移到后端通道,通过机器对机器的直接HTTP调用传递,显著提高了OAuth和OIDC流程的安全性。

新版本提供了灵活的PAR配置选项,包括全局启用设置、请求生命周期管理以及客户端级别的细粒度配置,使开发者能够根据安全需求和应用场景进行定制。

3. OpenTelemetry指标支持

在可观测性方面,IdentityServer 7.0.0扩展了对OpenTelemetry的支持,新增了指标收集功能。这一改进使得系统监控更加标准化,能够与更广泛的监控工具生态系统集成。虽然IdentityServer仍会继续触发自定义事件,但OpenTelemetry将成为未来可观测性工作的重点方向。

4. 刷新令牌机制优化

新版本将刷新令牌的默认行为改为可重用模式,这一改变基于IETF的最新安全建议和实践经验。旋转刷新令牌虽然曾被广泛推荐,但实际上可能降低用户体验并增加数据存储压力,而对安全性的提升有限。IdentityServer团队经过深入评估后决定改变这一默认行为,使系统更加高效和用户友好。

5. 令牌清理任务改进

针对多实例环境下的数据库争用问题,IdentityServer 7.0.0重新设计了令牌清理任务。新实现利用EntityFramework的execute delete API提高性能,并通过随机化初始启动时间减少多实例间的并发冲突,显著提升了系统在高负载环境下的稳定性。

技术细节与改进

架构变更

  • 服务器端会话实体主键类型从32位整型升级为64位长整型
  • 新增PAR相关数据库表和客户端配置属性
  • 令牌清理任务引入随机启动时间机制

API与扩展性增强

  • 协议端点响应写入机制重构,支持更灵活的自定义
  • 服务器端会话与用户信息端点集成
  • 本地API现在支持DPoP验证
  • 新增多个扩展点,包括IIdentityServerTools接口和虚拟方法等

安全与规范合规

  • 无效的prompt模式现在会返回400错误,符合最新OpenID Connect规范
  • 参考令牌撤销现在会考虑会话ID
  • 改进了CORS调试日志信息
  • 使用X-Frame-Options DENY与CSP策略保持一致

开发者注意事项

升级到IdentityServer 7.0.0需要注意以下关键点:

  1. 必须使用.NET 8环境
  2. 数据库架构变更需要执行迁移
  3. 部分已弃用API被移除,需要检查兼容性
  4. 刷新令牌行为变更可能影响现有应用逻辑
  5. PAR功能需要额外配置才能启用

对于自定义实现,特别是涉及令牌处理、CORS策略和DPoP验证的部分,需要仔细检查变更说明并相应调整代码。

总结

Duende IdentityServer 7.0.0 RC1是一个重要的里程碑版本,在安全性、可观测性和性能方面都有显著提升。PAR支持、OpenTelemetry指标和刷新令牌机制的改进使这个版本特别适合对安全有高要求的现代应用场景。开发团队可以开始评估这一候选版本,为即将到来的正式发布做好准备。

登录后查看全文
热门项目推荐

热门内容推荐

最新内容推荐

项目优选

收起
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
144
1.93 K
kernelkernel
deepin linux kernel
C
22
6
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
192
274
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
145
189
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
930
553
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
423
392
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Jupyter Notebook
75
66
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.11 K
0
openHiTLS-examplesopenHiTLS-examples
本仓将为广大高校开发者提供开源实践和创新开发平台,收集和展示openHiTLS示例代码及创新应用,欢迎大家投稿,让全世界看到您的精巧密码实现设计,也让更多人通过您的优秀成果,理解、喜爱上密码技术。
C
64
511