用于多个API的OAuth流是什么_Oauth_Oauth 2.0_Identityserver3_Identityserver4

用于多个API的OAuth流是什么

oauth oauth-2.0 identityserver4

用于多个API的OAuth流是什么,oauth,oauth-2.0,identityserver3,identityserver4,Oauth,Oauth 2.0,Identityserver3,Identityserver4,我目前正在从事一个项目，该项目包括：一个中央标识服务器，用于根据Active Directory对用户进行身份验证不同用户具有不同访问级别的几个不同API 用户登录以访问API的多个JS web应用程序 web应用程序和identity server之间应该使用何种身份验证流，以允许API获取有关用户的信息并授权其中的用户？我有点被困在这里。您通常会使用OAuth 2.0隐式授权来获取JS web应用程序的访问令牌，然后可以在调用API时使用该令牌。API可以利用访问令牌来了解授予API

我目前正在从事一个项目，该项目包括：

一个中央标识服务器，用于根据Active Directory对用户进行身份验证
不同用户具有不同访问级别的几个不同API
用户登录以访问API的多个JS web应用程序

web应用程序和identity server之间应该使用何种身份验证流，以允许API获取有关用户的信息并授权其中的用户？我有点被困在这里。

您通常会使用OAuth 2.0隐式授权来获取JS web应用程序的访问令牌，然后可以在调用API时使用该令牌。API可以利用访问令牌来了解授予API访问权的资源所有者

更新：请参阅下面关于隐式over Code+PKCE的评论。

您通常会使用OAuth 2.0隐式授权来获取JS web应用的访问令牌，然后可以在调用API时使用该令牌。API可以利用访问令牌来了解授予API访问权的资源所有者

更新：请参阅下面关于Implicit over Code+PKCE的评论。

当时的答案是正确的。无论如何，我看到这篇文章已经过时了。对于新读者：由于一些安全问题（浏览器上的客户端机密和通过frontchannel交换的访问令牌），不再推荐JS的隐式流。一般来说，建议采用PKCE的Auth代码流，当时答案是正确的。无论如何，我看到这篇文章已经过时了。对于新读者：由于一些安全问题（浏览器上的客户端机密和通过frontchannel交换的访问令牌），不再推荐JS的隐式流。一般来说，建议采用PKCE的身份验证代码流。