移動和Web應用程序的Identity Server3身份驗證

Question

我需要爲mvc Web應用程序和移動應用程序實現具有JWT令牌的身份驗證機制。用戶將能夠註冊我們的數據庫並通過使用憑據進行身份驗證（從註冊）或使用Facebook單點登錄。這兩個應用程序都將使用Web API與JWT令牌進行數據交換。我正在考慮使用Identity Server 3來使用Resource Owner Flow，並且我有一些問題：

1）用戶將從移動應用程序登錄並獲得一個jwt令牌。移動應用程序將驗證其有效性，並在需要時進行刷新。爲了讓移動應用程序有用戶總是登錄，我應該在設備上存儲refresh_token？它安全嗎？

2）我不明白我將如何處理Facebook身份驗證，並從身份服務器獲取jwt令牌。我應該首先從Facebook的個人資料數據獲得用戶的電子郵件，然後呢？

謝謝

Answer 1

1可以存儲在數據庫中更新憑證（身份服務器提供的令牌STOR） 也可以安全地在設備上使用第三方庫來存儲令牌。

2 - 要使用第三方登錄，您需要將重定向樣式轉到IdSvr登錄頁面。使用資源所有者密碼流意味着您錯過了令牌服務中的所有功能，如SSO，2fa和聯合身份驗證。