Согласно спецификации openid: неявное предоставление подходит для javascript и мобильных приложений, и оно менее безопасно сравнивается с предоставлением кода авторизации. Другими словами; насколько я понимаю, он не рекомендуется для серверного приложения (например, aspnet mvc).Identity Server 3 неявный грант с приложением mvc
неявного потока в основном используется клиентами, реализованных в браузере с использованием языка сценариев
Но я видел некоторые примеры, используя неявную субсидию с MVC приложения (например: https://github.com/IdentityServer/IdentityServer3.Samples/tree/master/source/MVC%20Authentication/EmbeddedMvc). Так что я смущен.
Правильно ли это (безопасно) с использованием неявного гранта приложением mvc, особенно с целью?
Если нет; существует ли промежуточное ПО owin для клиентского приложения mvc для обработки потока кода авторизации?
Моя цель - только аутентифицировать приложения mvc, ответ удовлетворительный. Однако, насколько я знаю, с неявным сервером идентификации потока отправляет токены в браузер непосредственно с хэш-фрагментом. Когда я пытаюсь попробовать образец клиента mvc с неявным предоставлением, я вижу, что браузер немедленно отправляет токены в клиентское приложение mvc для установки cookie. как это происходит? –
Как это происходит? –
Я не мог понять, как сервер идентификации перенаправляет браузер в клиентское приложение после аутентификации пользователя. –