WebAPI + JWT Token + OAuth - требуется идентификатор клиента?

Question

Я разрабатываю сайт Angularjs с бэкэнд WebApi 2, который в конечном итоге будет использоваться мобильными устройствами. Я смотрю на аутентификацию, и я планирую использовать токен JWT.

JWT - это что-то новое для меня, и примеры в Интернете, похоже, реализуют его разными способами. Некоторые показывают, что в методе ValidateClientAuthentication вам необходимо проверить ClientId, а затем имя пользователя и пароль в GrantResourceOwnerCredentials, где в других примерах показано только имя пользователя и пароль, отправляемые на сервер Auth и проверенные в ValidateClientAuthentication.

Я предполагаю, что, как angularjs это на стороне клиента, было бы легко получить идентификатор клиента, в этом случае, что бы необходимость отправить его

Answer 1

Для меня эта статья http://bitoftech.net/2014/07/16/enable-oauth-refresh-tokens-angularjs-app-using-asp-net-web-api-2-owin/ ответил на мой вопрос.

Если вы не используете токены обновления, вам действительно не нужно отправлять идентификатор клиента, но, как вы, вероятно, захотите использовать токены обновления, вы его отправляете. Никогда не храните секрет клиента в небезопасных приложениях, таких как приложения JS, или где секрет клиента может быть изменен.

Я бы рекомендовал статьи выше, прочитал их, выполнил их, и вы поймете все это ... или, по крайней мере, для этого!