Агнец за бортомЕсли в случае со SPA - сначала запросить code,отослать на .net, а потом .net сам запросит access token у SSO - то зачем отдавать token на клиента?

Чтобы клиент делал следующие запросы с проверенным токеном, и не дёргать на каждый запрос SSO.

Агнец за бортомПочему бы не записать его в сессию, а id сессии в куку? При каждом запросе проверять токен, обновлять его, если протух..

Какую ещё куку? А если это мобильный клиент? Или вообще другое приложение. Можешь и в куку записать, это ровным счётом ничего не меняет.

А сессия, это моветон, собственно усилия на разработку протокола были потрачены, чтобы не требовать костыли в виде сессий. Токен самодостаточен.

Агнец за бортомЕсли по каким-то причинам такой подход very bad, то как принято авторизовывать сайты без JS? Звучит странно, но как пример? Ведь токены в заголовок вставляются via JS.

А на чем? Что там на клиенте кроме JS можно запустить? Сильвер? Флеш? )))

Агнец за бортомТак токен на .net и будет храниться - смотри в него да даты сравнивай.

А если пользователь зашёл в приложение и ушёл на пару часов с собакой погулять. По приходу, его выбросит из открытого приложения, потому что .net похерил сессию? :)

А если это кластер, и часть запросов обрабатывает один сервак, а часть другой, надо ещё куда-то за токеном ходить? Т.е. хранить их перманентно, загаживая ресурс? :)

Агнец за бортомА если это дикий legacy, в котором сессии во весь рост?

Ну переписать. Сейчас многие крупные компании переписывают свой легаси.


Агнец за бортомА ни на чём. Голый HTML, который дергает MVC-сные контроллеры.

Дык гибридную аутентификацию SSO=>Токен=>Зашифрованный тикет в куки никто не отменял, пожалуйста :)

Агнец за бортомЯ правильно понял, что такой подход подразумевает процесс получения токенов через промежуточный код?
Именно потому, чтобы клиент не парился токенами в принципе (допустим, он и не может)?

Вот список и сравнение разных способов авторизации через OpenID Connect

https://www.scottbrady91.com/OpenID-Connect/OpenID-Connect-Flows


Агнец за бортомА в случае со SPA/mobile - implicit-подход - когда SPA/mobile-приложение запрашивает токен напрямую?

Да, implicit, получение токена напрямую, наиболее быстрым путём, но это требует поддержки со стороны клиента.

Агнец за бортомА с чего он её "похерит"?
Агнец за бортомСессии так то не в памяти хранятся. В какой-нибудь шустрой NoSQL.

Ну обычно сессии хранятся в памяти, так как это по сути пользовательский кеш, зачем его персистить?
Это же не жирный ViewSate

Агнец за бортомЯ почему-то думал, что токены _надо_ в заголовках передавать

В случае толстого клиента, да. Но так-то всё равно как передаётся токен, в заголовках, в параметрах запроса, в куках, или ещё как.