Jwt IdentityServer 3-客户端和机密

Jwt IdentityServer 3-客户端和机密,jwt,identityserver3,Jwt,Identityserver3,我正在阅读一些教程,看看是否可以使用IdentityServer3问题/处理令牌来授权访问某些Web Api端点 我不太理解的一个概念是客户机和秘密。在以前的项目中使用OAuth时,我从不需要在标题中传递客户机或机密值。我只通过了授权类型、用户名和密码。然而,IdentityServer似乎期望有客户端和机密,以及授权类型、用户名和密码 为什么需要客户端?IdentityServer不应该只传回一个承载令牌,而不管客户端的类型吗?另外,secret参数的用途是什么?这是否用于创建JWT令牌的签名

我正在阅读一些教程,看看是否可以使用IdentityServer3问题/处理令牌来授权访问某些Web Api端点

我不太理解的一个概念是
客户机
秘密
。在以前的项目中使用OAuth时,我从不需要在标题中传递
客户机
机密
值。我只通过了
授权类型
用户名
密码
。然而,IdentityServer似乎期望有
客户端
机密
,以及
授权类型
用户名
密码


为什么需要
客户端
?IdentityServer不应该只传回一个承载令牌,而不管客户端的类型吗?另外,
secret
参数的用途是什么?这是否用于创建JWT令牌的签名?

client\u id
client\u secret
是特定于Identity Server的实现。它们是客户端注册的一部分,我喜欢将其视为访问控制列表,检查请求方是否有权使用请求的流和作用域接收访问令牌

未注册的客户端是规范,但我还没有遇到一个

从它的声音来看,您一直在使用ResourceOwner流,它需要一个
授权类型
密码,
客户id
客户机密
,多个
范围
用户名
密码


client\u id
client\u secret
也可以使用
Basic
方案在
Authorization
头中进行base64编码和发送


机密不用于JWT验证,它仅用于验证传入的客户端。

客户端id
客户端机密
是特定于Identity Server的实现。它们是客户端注册的一部分,我喜欢将其视为访问控制列表,检查请求方是否有权使用请求的流和作用域接收访问令牌

未注册的客户端是规范,但我还没有遇到一个

从它的声音来看,您一直在使用ResourceOwner流,它需要一个
授权类型
密码,
客户id
客户机密
,多个
范围
用户名
密码


client\u id
client\u secret
也可以使用
Basic
方案在
Authorization
头中进行base64编码和发送


该机密不用于JWT验证,它仅用于验证传入的客户端。

谢谢Scott!我一直在读你的教程。房间布置得很好。我在试图弄清楚如何使用IdentityServer3取回承载令牌时遇到困难,这样我就可以用声明属性保护我的API。谢谢你!我一直在读你的教程。房间布置得很好。我在试图弄清楚如何使用IdentityServer3取回承载令牌时遇到了困难,这样我就可以用声明属性保护我的API。