Angular-.Net核心应用程序-Okta设置问题

我有一个应用程序，它是一个连接到ASP.Net核心API服务端的SPA应用程序。我的第一个问题是Okta身份验证应该在客户端发生，还是在具有客户端id和密钥的服务端发生

---

另一件事是SAML是否可以在这样的意义上使用：如果用户已经通过身份验证，则可以通过SAML传递，而不会提示用户输入凭据？

始终在服务器上进行身份验证。客户端上的所有内容都可以读取。使用此设置的大多数应用程序在每个请求中都传递一个令牌，该令牌在.net核心端进行验证

一个简单的流程是： 用户输入凭证->发送到验证它的服务器->服务器返回令牌->存储在本地存储中的令牌，并在命中API时在每个后续请求中传递

在Angular中查看守卫，这将有助于控制前端，而如果请求中有有效令牌，服务器端将工作

这里还有一个可能有用的链接：