问Identity Server 4、外部提供程序和Web API

EN

我正在开发的系统由以下几部分组成：-网关下的一些服务(Ocelot) -移动客户端(iOS) - Identity Server4

移动客户端还没有准备好，所以我使用Postman来模拟来自它的请求。我的问题是使用外部提供商实现身份验证，比如Google。这是我第一次使用IS4，所以我有一些误解和困难。对不起，如果我的问题太抽象了，或者我错过了显而易见的问题。我使用所有这些教程成功地部署了IS4，它以适当的方式使用密码凭据流:I请求用于访问令牌，发送用户凭据，它返回令牌，我可以成功地使用它来访问我的API方法。

与外部提供商的情况是不同的。我已经概述了本教程(https://docs.microsoft.com/en-us/aspnet/core/security/authentication/social/google-logins?view=aspnetcore-3.1)和其他一些教程，并将其中的代码添加到IS项目中。我可以成功地登录到谷歌，使用IS4网页上的一个按钮，它与IS 4快速入门用户界面模板。但是没有机会使用API。据我所知，在这样的工作流程中，客户端应用程序应该去寻找令牌，而不是像示例中的本地用户那样，给Google Auth提供商。我用Postman模拟了它，得到了一个奇怪的没有数据的access_token和包含用户名、电子邮件等的it_token。我尝试通过对我的id_token的请求来使用这个API。结果始终为401。

我哪里错了？我应该如何使用来自Google的令牌来构建对API的请求？或者我有误解，应该有另一个流程:客户端转到具有特定请求的IS，转到Google，然后向客户端返回适当的令牌？

以下是Web API应用程序端的身份验证配置：

private void ConfigAuthentication(IServiceCollection services)
{
    services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
            .AddJwtBearer(JwtBearerDefaults.AuthenticationScheme, options =>
            {
                options.Authority = "http://localhost:5000";
                options.RequireHttpsMetadata = false;
                options.Audience = "k_smart_api";
            });
}

下面是Google-Auth在IdentityServer端的配置：

services.AddAuthentication().AddGoogle(opts => {
   opts.ClientId = "My google client Id";
   opts.ClientSecret = "my google client secret";
   opts.SignInScheme = IdentityConstants.ExternalScheme;
   opts.SaveTokens = true;
});

下面是我获取访问令牌的方法：

postman exampple