我很难理解移动应用程序的混合流。我正在使用 .Net 中 Identity Server 4 提供的代码 id_token 混合流。
所有移动请求都将转到后端服务器,后端服务器将代表用户将请求转发到不同的 API。
当用户第一次登录时
什么令牌将返回到移动应用程序以提供该用户是有效的。后端服务器是否有责任在不提示用户重新登录直到用户注销的情况下获取新的访问令牌?
上面的场景有什么步骤错误吗?
【问题讨论】:
标签: mobile identityserver4 openid-connect
对于移动客户端,建议将授权代码流与 PKCE 一起使用。请通读这两个答案,以了解为什么建议使用Link-1 和Link-2。
此外,RFC8252 为原生应用程序提供了一些最佳实践应用程序(移动客户端是原生应用程序。!)。在这方面,建议不要使用网络视图。
这是来自RFC8252-overview的引述
以前,原生应用通常使用嵌入式用户代理 (通常通过 Web 视图实现)用于 OAuth 授权 要求。这种方法有很多缺点,包括主机应用程序 能够复制用户凭据和 cookie 以及用户 需要在每个应用程序中从头开始进行身份验证
通过使用网络视图,您失去了 OAuth 2.0 的真正本质。您的客户端应用程序能够掌握最终用户凭据。所以使用浏览器而不是网络视图。 (请从link 阅读有关嵌入式用户代理的更多信息)
在您的架构中,您可以启用所有这些,PKCE、授权代码流和使用浏览器而不是 web 视图。但是一旦支持者收到令牌,它应该将它们传递给您的客户。如果你坚持这种架构,那将是一个挑战。
但是,如果您可以让您的移动应用程序完成整个流程,您就可以避免这种复杂性。收到令牌后,您可以通过验证令牌在支持的服务器之间创建连接。此外,当令牌过期时,移动应用会使用刷新令牌来获取新令牌。
【讨论】: