IdentityServer4：当客户端不'；我不知道客户的秘密_Identityserver4_Refresh Token

IdentityServer4：当客户端不'；我不知道客户的秘密

identityserver4

IdentityServer4：当客户端不'；我不知道客户的秘密,identityserver4,refresh-token,Identityserver4,Refresh Token,第一：我可以成功地打电话给 http://localhost:7791/connect/token POST grant_type=refresh_token &refresh_token={refresh_token} &client_id=resource-owner-client &client_secret=secret 这将返回一个新的访问令牌、刷新令牌、过期令牌和令牌类型然而，我想在没有客户秘密的情况下做这件事。在我的例子中，我的客户机是远程应用程序，

第一：我可以成功地打电话给

http://localhost:7791/connect/token POST
 grant_type=refresh_token
&refresh_token={refresh_token}
&client_id=resource-owner-client
&client_secret=secret

这将返回一个新的访问令牌、刷新令牌、过期令牌和令牌类型

然而，我想在没有客户秘密的情况下做这件事。在我的例子中，我的客户机是远程应用程序，它们已获得启动访问令牌、刷新令牌等

用这个电话

http://localhost:7791/connect/token POST
grant_type=password
&scope=arbitrary offline_access
&client_id=resource-owner-client
&client_secret=secret&username=rat&password=poison

初始调用是可信的，并且秘密是已知的，但是刷新\u令牌的下游使用不需要客户端\u秘密

我如何配置它，或者我必须在何处编写自己的抽象代码才能使事情以这种方式工作？

不是现成的

您可以使用扩展授权来实现这一点

我对验证客户端的位置进行了代码审查，除了在一开始就实现自己的IEndpoint和挂接传入呼叫之外，我还没有通过一些抽象来考虑我想做什么。如果客户不好，它会很早退出。我希望我的用例不是那么少见。也许我将不得不走定制赠款的道路。