使用IdentityServer4通过API进行用户身份验证
我正在研究使用IdentityServer4通过API进行用户身份验证,identityserver4,Identityserver4,我正在研究IdentityServer4作为管理用户和API访问令牌的可能解决方案。有一点尚不清楚,即是否可以通过API调用提供身份验证,或者我们是否被迫使用由IdentityServer4托管的登录页面 关于移动应用程序中的用户体验,在应用程序中提供一个简单的登录屏幕总是比打开一个处理登录过程的网页更好 我们是被迫使用由IdentityServer4托管的登录/注册页面,还是可以通过API调用来处理该页面?从服务器读取,对服务器进行API调用就足够了。 在服务器端,将有一个使用Identity
IdentityServer4IdentityServer4IdentityServer4作为参考实施,您可以查看官方网站并检查网络呼叫。登录应该发生在IdentityServer网站上,原因很简单,即客户端不能信任用户凭据 当用户登录IdentityServer网站时,客户端仍然不知道凭据。用户已通过身份验证或请求被拒绝 请注意,也不建议使用“良好用户体验”的嵌入式浏览器,因为这将要求用户在不安全的环境中输入凭据(可以捕获凭据),即使在显示IdentityServer网站时也是如此
为了获得用户体验,您可以使用客户端id和acr_值作为附加参数来自定义IdentityServer上的登录页面。登录应发生在IdentityServer网站上,原因很简单,即无法信任客户端的用户凭据 当用户登录IdentityServer网站时,客户端仍然不知道凭据。用户已通过身份验证或请求被拒绝 请注意,也不建议使用“良好用户体验”的嵌入式浏览器,因为这将要求用户在不安全的环境中输入凭据(可以捕获凭据),即使在显示IdentityServer网站时也是如此
为了获得用户体验,您可以使用客户端id和acr_值作为附加参数来自定义IdentityServer上的登录页面。如果您在api中托管IdentityServer,则无需重定向到IdentityServer。然而,很多时候人们喜欢将令牌服务器与API分开,因为拥有令牌服务器意味着您有多个应用程序,并且您只能有一个API可以托管令牌服务器,或者您也可以转发来自服务器的请求,只需在API中使用一个简单的登录页面。我感兴趣的场景是将
IdentityServer4login.mydomain.comIdentityServer4login.mydomain.comIdentityServer 4