client_idとclient_secretを理解する

Question

初心者からOAUTHまでのビットで、何かを正しく理解しているかどうか尋ねたいと思っていました。私は、次のシナリオOWINとC＃と私のセットアップを使用しています：

1. ユーザーがパスワードのgrant_typeとユーザー名/パスワードを渡し、私のトークンエンドポイントに要求を行います。資格情報が有効な場合は、JWTを作成します。

2. ユーザーは、JWTを取り戻すし、クライアントはすべての要求

3. 私はこの要求を行うことを許可されたユーザを確実にするためにトークンの主張を使用する許可を必要とするすべての要求のために、今後、そのトークンを使用しています。

だから、どこにclient_idとclient_secretが入りますか？これはちょうどあなたがトークンを得ることができる前にセキュリティの余分な層ですか？私は別のの資格（ID /秘密）のセットを渡す必要があります。それらのが有効である場合にのみ、あなたのユーザー名/提供されたパスワードは、あなたが戻ってJWTを得ることができます

は、2つの関係者に理解したいと思います - 本当にありがとうございました

Answer 1

client_idとclient_secretの両方がパスワードフローで使用されていません。ただし、OAuth2には他のシナリオに適したフローがあります。

すなわち：ユーザーのサーバー側の認証をWebアプリケーションで使用される

• 認証コード流れ。 client_idは最初のリダイレクトで使用され、client_secretは最後のステップで使用され、そこでアプリケーションはトークンの1つのタイムコードを交換します。

• クライアントの資格情報アプリケーションを認証するために使用されるフローではなく、個々のユーザー

すべての様々なフローの簡潔な参照：https://aaronparecki.com/articles/2012/07/29/1/oauth2-simplified

Answer 2

認証される必要がある2つの政党があります？！アプリケーションとユーザーが

。

アプリケーションはIDとシークレットで認証され、コールバックURLによってバックアップされる可能性があります。これにより、recトークンのipientは正しいものです。

ユーザーは、OAuthプロバイダを通じて認証されます。それにはユーザ名/パスワード、またはOAuthプロバイダが必要と考えるものを使用できます。このトークンは、アプリケーションがユーザー名とパスワードを知らなくてもユーザーデータを取得できるようにするために使用されます。