Я изучал oauth 2 и IdentityServer4 последние полтора года и могу сказать, что, по моему мнению, предпочтительным методом для использования в этом сценарии будет hybrid flow
. Похоже, что в прошлом это было implicit
из-за того, что мобильный клиент не может защитить secret
. Тогда это казалось, изменилось в authorization flow
без секрета ... (не знаю, как это будет работать)Какой поток OAuth используется для приложения IONIC2 и Identity Server4
Мое понимание ионными и других кросс-платформенных структур является то, что они работают, встраивая приложения внутри web view
и, следовательно, это где моя путаница наступает. Технически говоря, гибридный поток рекомендуется для приложений native
, а IONIC - это не то, что позволяет вам создавать приложения native
.
Если рекомендуемый поток для родных приложений является гибридным, но вы используете IONIC и, следовательно, не создаете родное приложение, то применяется ли гибридный поток?
Опять же, я предполагаю, что это так, потому что, поскольку это будет приложение, работающее локально на машине конечного пользователя, тогда секрет НЕ безопасен.
Это также меня немного смущает, потому что есть другие потоки, например: credential based
, где необходимо указать имя пользователя и пароль. Это меня смущает, потому что обычно это так, как хотелось бы, чтобы пользователи аутентифицировались в мобильном приложении. Гибридный поток, по-видимому, является потоком, который не требует имени пользователя и пароля.
Я исхожу из фона MVC4 owin.
Мой основной план архитектуры, как этот сервер
- Auth
- API
- ИОННЫЙ приложение