我一直在研究oauth 2和IdentityServer4在過去的一天半,可以說我認爲在這種情況下使用的首選方法是hybrid flow
。由於手機客戶端無法保護secret
,因此過去似乎是implicit
。然後,它似乎已經更改爲不authorization flow
祕密......(不知道如何將工作)什麼OAuth流程用於IONIC2應用程序和Identity Server4
我的離子和其他跨平臺框架的理解是,他們通過嵌入web view
因此這裏面的應用程序中工作是我的困惑所在。從技術上講,混合流量推薦用於native
應用程序,IONIC不允許您構建native
應用程序。
如果推薦的本地應用流量是混合流量,但您使用的是IONIC,因此不構建本地應用,那麼混合流量是否仍然適用?
再一次,我的猜測是,因爲這將是一個應用程序在本地運行在最終用戶的機器上,那麼這個祕密在那裏並不安全。
這也讓我更加困惑,因爲還有其他流量,例如:credential based
流量必須提供用戶名和密碼。這讓我感到困惑,因爲這通常是用戶希望用戶在移動應用中進行身份驗證的方式。混合流似乎是一個不需要用戶名和密碼的流程。
我來自MVC4 owin背景。
我的基本架構的計劃是這樣的
- 驗證服務器
- API
- 離子應用