Jwt IdentityServer 3-客户端和机密
我正在阅读一些教程,看看是否可以使用IdentityServer3问题/处理令牌来授权访问某些Web Api端点 我不太理解的一个概念是Jwt IdentityServer 3-客户端和机密,jwt,identityserver3,Jwt,Identityserver3,我正在阅读一些教程,看看是否可以使用IdentityServer3问题/处理令牌来授权访问某些Web Api端点 我不太理解的一个概念是客户机和秘密。在以前的项目中使用OAuth时,我从不需要在标题中传递客户机或机密值。我只通过了授权类型、用户名和密码。然而,IdentityServer似乎期望有客户端和机密,以及授权类型、用户名和密码 为什么需要客户端?IdentityServer不应该只传回一个承载令牌,而不管客户端的类型吗?另外,secret参数的用途是什么?这是否用于创建JWT令牌的签名
客户机
和秘密
。在以前的项目中使用OAuth时,我从不需要在标题中传递客户机
或机密
值。我只通过了授权类型
、用户名
和密码
。然而,IdentityServer似乎期望有客户端
和机密
,以及授权类型
、用户名
和密码
为什么需要
客户端
?IdentityServer不应该只传回一个承载令牌,而不管客户端的类型吗?另外,secret
参数的用途是什么?这是否用于创建JWT令牌的签名?client\u id
和client\u secret
是特定于Identity Server的实现。它们是客户端注册的一部分,我喜欢将其视为访问控制列表,检查请求方是否有权使用请求的流和作用域接收访问令牌
未注册的客户端是规范,但我还没有遇到一个
从它的声音来看,您一直在使用ResourceOwner流,它需要一个授权类型
密码,客户id
,客户机密
,多个范围
,用户名
和密码
client\u id
和client\u secret
也可以使用Basic
方案在Authorization
头中进行base64编码和发送
机密不用于JWT验证,它仅用于验证传入的客户端。
客户端id
和客户端机密
是特定于Identity Server的实现。它们是客户端注册的一部分,我喜欢将其视为访问控制列表,检查请求方是否有权使用请求的流和作用域接收访问令牌
未注册的客户端是规范,但我还没有遇到一个
从它的声音来看,您一直在使用ResourceOwner流,它需要一个授权类型
密码,客户id
,客户机密
,多个范围
,用户名
和密码
client\u id
和client\u secret
也可以使用Basic
方案在Authorization
头中进行base64编码和发送
该机密不用于JWT验证,它仅用于验证传入的客户端。谢谢Scott!我一直在读你的教程。房间布置得很好。我在试图弄清楚如何使用IdentityServer3取回承载令牌时遇到困难,这样我就可以用声明属性保护我的API。谢谢你!我一直在读你的教程。房间布置得很好。我在试图弄清楚如何使用IdentityServer3取回承载令牌时遇到了困难,这样我就可以用声明属性保护我的API。