Я изучал oauth 2 и IdentityServer4 последние полтора года и могу сказать, что, по моему мнению, предпочтительным методом для использования в этом сценарии будет hybrid flow. Похоже, что в прошлом это было implicit из-за того, что мобильный клиент не может защитить secret. Тогда это казалось, изменилось в authorization flow без секрета ... (не знаю, как это будет работать)Какой поток OAuth используется для приложения IONIC2 и Identity Server4
Мое понимание ионными и других кросс-платформенных структур является то, что они работают, встраивая приложения внутри web view и, следовательно, это где моя путаница наступает. Технически говоря, гибридный поток рекомендуется для приложений native, а IONIC - это не то, что позволяет вам создавать приложения native.
Если рекомендуемый поток для родных приложений является гибридным, но вы используете IONIC и, следовательно, не создаете родное приложение, то применяется ли гибридный поток?
Опять же, я предполагаю, что это так, потому что, поскольку это будет приложение, работающее локально на машине конечного пользователя, тогда секрет НЕ безопасен.
Это также меня немного смущает, потому что есть другие потоки, например: credential based, где необходимо указать имя пользователя и пароль. Это меня смущает, потому что обычно это так, как хотелось бы, чтобы пользователи аутентифицировались в мобильном приложении. Гибридный поток, по-видимому, является потоком, который не требует имени пользователя и пароля.
Я исхожу из фона MVC4 owin.
Мой основной план архитектуры, как этот сервер
- Auth
- API
- ИОННЫЙ приложение