我的问题是:使用一个框架(如IdentityServer)来管理Auth的实现(身份验证/授权) -- Vs --通过以下协议推出您自己的实现。在这种情况下,“自行推出”选项将不依赖于任何中间件来管理auth --所有所需的端点/服务/数据访问都将由自己管理。具体来说,我想知道:假设您遵循了协议规范,那么在推出您自己的实现时,需要考虑哪些安全问题?编辑1:对于进一步的上下文,这里唯一需要实现的问题是一个微服务</e
我的api客户端负责决定使用哪个auth提供程序,传递数据(服务器到服务器,服务器到外部api),并编排auth进程。我们使用的一个auth提供者是identity server 4,这是我们实现WebAuthN的地方。
我不确定在Identity Server 4中实现这一功能的推荐方法是哪种。credentialCreate 在身份服务器上创建API端点,向用户验证扩展授权类型,并使用新的授权类型调用TokenEndpoint A