通过移动应用程序的社交提供商进行身份验证

Question

如何在使用 IdentityServer4 系统提供的流程时针对社交提供商验证我的移动应用程序（颤振）？

我正在尝试构建一个移动应用程序，该应用程序将通过 Azure AD b2c 对用户进行身份验证。不过，这个问题对于任何 IdentityServer4 服务的提供者都是有效的。对于移动应用程序，我阅读的所有内容都建议使用资源所有者密码凭证 (ROPC) 流程。我的理解是，ROPC 不允许对社交提供者进行身份验证。是否有专门用于社交提供者身份验证的替代流程？我对 ROPC 的理解是错误的吗？我知道移动应用程序可以通过社交服务提供商进行身份验证，我已经看够了。

Answer 1

如果您想对社交提供者和移动应用程序的用户进行身份验证，您可以通过 Azure AD B2C 使用auth code flow。您可以在大多数application types 中使用它进行身份验证和授权，包括Web 应用程序和本机安装的应用程序。

关于资源所有者密码凭证 (ROPC) 流程，我们推荐使用更安全的替代方案。此流程需要对应用程序高度信任，并带有其他流程中不存在的风险。只有在无法使用其他更安全的流程时，您才应该使用此流程。不推荐。

更新：

当移动身份验证需要重定向 uri 以将生成的令牌发送到时，身份验证代码流如何工作？这似乎类似于网站的隐式流程。

它们相似，但它们应用不同的应用程序类型。您可以了解有关流程的更多信息（auth code flow，implact flow）。文档是关于 AzureAD 的，但流程与 B2C 相同。

auth 代码流的协议图是这样的：

隐式流的协议图是这样的：