为什么IdentityServer3隐式流需要签名证书，而ClientCredential和ResourceOwner流不需要签名证书？

Question

我正在尝试加快在.NET web应用程序中使用IdentityServer3进行授权的速度。

我试图弄清楚为什么隐式流要求IdentityServer具有签名证书，而授权流不需要签名证书。

到目前为止，我所理解的是:流"ClientCredential“和"ResourceOwner”是"AuthorizationFlows“-即它们有一个客户端秘密，所有令牌都是从令牌端点返回的，通过刷新令牌进行的长期身份验证是可能的，令牌不会显示给每个https://www.scottbrady91.com/OpenID-Connect/OpenID-Connect-Flows的用户代理/浏览器(相反，它们存储在服务器上，cookie或类似的东西被发送到用户代理/浏览器)。对于直接访问WebAPI的SPA / JS应用程序，应该使用隐式流，因为JS客户端直接从浏览器调用Identity Server，因此无法保留客户端机密(因为它必须传输到浏览器，从而影响安全性)。

所有这些都是有意义的，但在所有情况下，IdentityServer都会生成应用程序用于授权的令牌，所以我不明白为什么在一种情况下需要签名，而在另一种情况下不需要签名？

非常感谢您的帮助！

Answer 1

每当发出JWT (id_token或access_token)时，都需要签名证书。