在使用PKCE时是否需要使用引用令牌？

Question

我目前正在做一个项目，其中IdentityServer4被用作授权/认证服务器。我们只有一个客户端(Angular)和几个基于资源的API (ASP.NET核心)。目前，我们使用代码流(PKCE)，同时引用令牌，利用IdentityServer4提供的令牌内省端点。

同时使用PKCE和引用令牌是不是有点过分了？从API中请求始终调用IdentityServer4的令牌自检端点会向接收到的每个资源请求添加另一个请求。我们想知道使用引用令牌是否比仅使用具有普通访问令牌的PKCE具有任何安全优势。

谢谢!

Answer 1

PKCE在这里只是为了保护初始用户身份验证，在此之后，不再涉及PKCE，并且将PKCE用于引用和普通JWT令牌。

如果您担心额外的查找请求的性能，那么您应该看看这个视频

Improving JWT performance in ASP.NET Core webinar with Mentor - Marcin Hoppe