Identity Server 3 неявный грант с приложением mvc

Question

Согласно спецификации openid: неявное предоставление подходит для javascript и мобильных приложений, и оно менее безопасно сравнивается с предоставлением кода авторизации. Другими словами; насколько я понимаю, он не рекомендуется для серверного приложения (например, aspnet mvc).

неявного потока в основном используется клиентами, реализованных в браузере с использованием языка сценариев

Но я видел некоторые примеры, используя неявную субсидию с MVC приложения (например: https://github.com/IdentityServer/IdentityServer3.Samples/tree/master/source/MVC%20Authentication/EmbeddedMvc). Так что я смущен.

Правильно ли это (безопасно) с использованием неявного гранта приложением mvc, особенно с целью?

Если нет; существует ли промежуточное ПО owin для клиентского приложения mvc для обработки потока кода авторизации?

Answer 1

Всё зависит. Если все, что вы делаете, это аутентификация, тогда подразумевается, что это нормально. Если вы также получаете токены доступа, то имплициты выставляют их браузеру и пользователю. Поэтому, если вы планируете использовать этот токен доступа в своем JS, тогда не беспокойтесь - API уже разработан для прямого доступа к браузеру. Но если вы предпочитаете, чтобы ваш API не был доступен из браузера, тогда гибридный поток не позволит маркеру доступа быть видимым для браузера, JS и пользователя.