WebApi-Angularjs Web应用程序的Thinktecture Server 3授权流程

Question

关于web应用程序中最好的授权标准体系结构，我有一个问题，它是用Asp.Net Web编写的，并且有一个angularjs客户端。

根据我以前看到的，“资源所有者凭据”流是在这种情况下使用的，在这种情况下，then应用程序将向服务器发送用户凭据并获得访问令牌(和刷新令牌)，然后使用拦截器，每次对后端apis的调用都将在头中包含访问令牌。

然而，我最近看到了关于这是一个坏主意的争论，因为它将用户的凭据提供给了客户端应用程序。

当您的javascript客户机直接调用您的WebApis时，方案的最佳流程是什么？使用Identity Server保护它的最佳方法是什么？

Answer 1

您还可以考虑隐式流或混合流，当客户端应用程序(Access)将用户重定向到openid身份提供程序(Identity Server)上登录时，成功的身份验证将返回一个访问/标识令牌，该令牌可用于随后对Apis的调用。

在这种情况下，客户端应用程序永远不会接触客户端凭据，它总是必须管理令牌。

另见https://www.scottbrady91.com/OpenID-Connect/OpenID-Connect-Flows