在IdentityServer4中使用哪个IdentityServer4？

Question

我使用IdentityServer 4与ASP.NET核心1.1和角2。

我需要从三个不同的来源访问API：

1. 移动应用程序；
2. 一个角2应用程序，包含在一个ASP.NET核心MVC；
3. 在ASP.NET Core控制器中。

我应该对每个GrantTypes使用哪一个？

Answer 1

API本身没有GrantType，它只是使用令牌(JWT或引用)。

1. 对于移动应用程序来说，在客户端应用程序中保护凭据通常需要考虑的安全问题。换句话说，一个不需要客户端秘密的流，在理想情况下，不会给用户提供实际的访问令牌。授权代码/混合流满足此标准。这种方法的局限性是，所有通信都需要通过承载访问令牌的服务器进行代理。
2. 因为它包含在ASP.NET中，所以cookie是一个选项。隐式流或授权代码/混合流在这里工作得很好。如果需要访问刷新令牌，请使用授权/混合。
3. 与2号相同

关于更多细节，Auth0有一个很好的指南：https://auth0.com/docs/api-auth/which-oauth-flow-to-use

Answer 2

相反的顺序..。

3。授权代码(因为您的秘密不会留下您信任的环境)

2。隐式(因为您的代码确实保留了您信任的环境--即在客户端浏览器上运行，所以任何秘密都可以访问)

1。对我来说，隐式，因为您不能真正信任移动环境(即代码可以被检查，您的秘密也可以被泄露)。但是，您可以使用授权代码，但如果使用，您的移动秘密应该与MVC秘密不同。

您还可以考虑用于MVC和移动流的混合，因为这将使用服务器到服务器之间的通信来进行访问令牌交换。