IdEntiyServer流

内容来源于 Stack Overflow,并遵循CC BY-SA 3.0许可协议进行翻译与使用

  • 回答 (2)
  • 关注 (0)
  • 查看 (78)

IdentityServer支持在Flows枚举中定义并为客户端设置的不同OpenId Connect流。 还有每种流程的样本以及文档中对它们的许多引用,但我无法找到文档中流程的简单定义列表,就好像它们太明显而无法用文字解释。 你能告诉我们更多关于这些差异的信息吗,也许我们可以把它添加到文档中? 那么什么是:隐式流,资源所有者密码凭证流,授权码流,客户端凭证流,自定义授权流和混合流? 还有哪些是OAuth流,哪些是OpenID Connect流?

提问于
用户回答回答于

我也面临着同样的问题,目前的工作仍在进行中。当我完成文档后,我可以把它张贴在这里。

用户回答回答于

授权码流OAuth 2.0流

  • 授权终结点返回授权代码
  • 并且从令牌端点返回所有令牌(作为第二阶段,以换取授权代码)
  • 用于基于服务器的调用(API),这些调用可以维护其客户端秘密的机密性。允许更强的安全性,只要没有人可以访问“客户端秘密”。

隐式流OAuth 2.0流

  • 所有令牌都直接从授权终结点返回
  • 并且既不使用令牌终结点,也不使用授权代码。
  • 用于移动和基于Web的应用程序,无法维护客户端机密,因此需要由auth服务器本身发出令牌。这不太安全,建议将服务器设置为拒绝。隐式流调用API使用,并且只允许基于浏览器和基于移动的应用程序使用API。

混合流OAuth 2.0流

  • 从授权终结点返回授权代码,
  • 一些令牌直接从授权终结点返回,而另一些令牌则从令牌端点返回(作为第二阶段,以换取授权代码)。
  • 用于需要这两个流的地方。

所属标签

可能回答问题的人

  • Hanzo

    6 粉丝0 提问7 回答
  • Richel

    9 粉丝0 提问3 回答
  • 御姐万岁

    6 粉丝507 提问2 回答
  • 用户3845578

    杭州吱吱吱科技 · 站长 (已认证)

    0 粉丝0 提问2 回答

扫码关注云+社区

领取腾讯云代金券