桌面应用程序及其内部web视图的有效身份验证

Question

有一个桌面应用程序连接到API服务器，该API服务器在身份验证服务器中被定义为IdentityServer4.Models.ApiResource。另外，还有一个web应用程序(一个IdentityServer4.Models.Client)，这个桌面应用程序愿意以它的web视图形式显示(在Qt中使用)。

当用户希望与API服务器通信时，该桌面应用程序中的用户将连接到身份验证服务器(使用GrantTypes.ResourceOwnerPasswordAndClientCredentials)。从那时起，认证令牌通过承载报头。

因此，我们有这样的申请：

• 认证服务器
• 独立的web应用程序(使用身份验证服务器进行身份验证)
• API服务器
• 桌面应用程序(连接到API服务器并愿意显示web服务器本身)

在成功连接到API服务器之后，如何使桌面应用程序中的web应用程序能够识别用户而不询问用户的用户和密码？

Answer 1

在桌面应用程序中，您必须存储(例如在文件系统中)。一个access_token，可能是一个将来使用的refresh_token。当用户运行应用程序时，您只需检查一个access_token，它是有效的，您应该使用该令牌而不需要登录/传递请求。在我看来，这是没关系的，你的桌面应用程序是如何工作的具体-网页查看形式，或明显的本土化。桌面应用程序应该存储令牌。