2017-02-08 52 views
6

我一直在研究oauth 2和IdentityServer4在過去的一天半,可以說我認爲在這種情況下使用的首選方法是hybrid flow。由於手機客戶端無法保護secret,因此過去似乎是implicit。然後,它似乎已經更改爲不authorization flow祕密......(不知道如何將工作)什麼OAuth流程用於IONIC2應用程序和Identity Server4

我的離子和其他跨平臺框架的理解是,他們通過嵌入web view因此這裏面的應用程序中工作是我的困惑所在。從技術上講,混合流量推薦用於native應用程序,IONIC不允許您構建native應用程序。

如果推薦的本地應用流量是混合流量,但您使用的是IONIC,因此不構建本地應用,那麼混合流量是否仍然適用?

再一次,我的猜測是,因爲這將是一個應用程序在本地運行在最終用戶的機器上,那麼這個祕密在那裏並不安全。

這也讓我更加困惑,因爲還有其他流量,例如:credential based流量必須提供用戶名和密碼。這讓我感到困惑,因爲這通常是用戶希望用戶在移動應用中進行身份驗證的方式。混合流似乎是一個不需要用戶名和密碼的流程。

我來自MVC4 owin背景。

我的基本架構的計劃是這樣的

  • 驗證服務器
  • API
  • 離子應用

回答

2

移動離子應用應被視爲本機應用程序,並通過OIDC推薦流量移動標準是使用Hybrid + PKCE。

看一看here

如果你想的是如何設置的離子在客戶端上IdentityServer4檢查樣品here的想法。不介意xamarin只關注IdentityServer部分。

相關問題