【发布时间】:2017-06-26 13:16:37
【问题描述】:
过去一天半我一直在研究 oauth 2 和 IdentityServer4,可以说我认为在这种情况下使用的首选方法是 hybrid flow。过去似乎是implicit,因为移动客户端无法保护secret。然后它似乎已更改为 authorization flow 没有秘密......(不知道如何工作)
我对 IONIC 和其他跨平台框架的理解是,它们通过将应用程序嵌入到 web view 中来工作,因此这就是我的困惑所在。从技术上讲,建议为 native 应用程序和 IONIC 使用混合流不是让您构建native 应用程序的东西。
如果本机应用程序的推荐流程是混合的,但您使用的是 IONIC,因此未构建本机应用程序,那么混合流程是否仍然适用?
同样,我的猜测是确实如此,因为由于这将是一个在最终用户的机器上本地运行的应用程序,所以那里的秘密并不安全。
这也让我更加困惑,因为还有其他流程,例如:credential based 必须提供用户名和密码的流程。这让我感到困惑,因为这通常是人们希望用户在移动应用程序中进行身份验证的方式。混合流似乎是不需要用户名和密码的流..
我来自 MVC4 owin 背景。
我的基本架构计划是这样的
- 认证服务器
- API
- IONIC 应用程序
【问题讨论】:
标签: asp.net-web-api oauth .net-core identityserver4