Authentication 浏览器中临时凭据的身份验证流

我正试图了解我们的一个客户使用的特定专有身份验证流，以及如何在IdentityServer4中实现它

我们正在开发一个SPA，使用一些微服务作为后端，并使用IdentityServer4进行所有身份验证/授权。SPA的标准工作流是（正如预期的那样，我猜）使用oidc客户端js的隐式流（目前）

现在的问题是：我们的一位客户早就有了类似于自制SSO解决方案的解决方案。用户基本上在一个中央门户进行身份验证，并获得连接有令牌的应用程序链接。这个令牌在几分钟内有效，并且包含临时用户凭据，我需要以某种方式在IdentityServer上进行身份验证

我的第一次尝试是客户端凭据流。不起作用，因为一旦初始凭据令牌用完，客户端就无法刷新其访问令牌（客户端没有也不能访问永久凭据）。我当前的方法是“劫持”隐式流，通过使用给定的临时凭据进行身份验证，然后使用正常的刷新周期，而无需进一步使用任何凭据

这是一个有效的方法还是我完全走错了方向？如果有效：我如何获得IdentityServer4来执行我的出价？我不能使用IResourceOwnerPasswordValidator，因为这需要客户端凭据流（我想是吧？）。IExtensionGrantValidator是一种方式吗？（如果是：有什么想法，如何说服oidc客户端js使用自定义授权？）

谢谢你的帮助

问候,， 马库斯