1
を知らない場合は、新しいaccess_tokenはを取得するためにrefresh_tokenを使用した:私は正常にIdentityServer4:クライアントはclient_secretまず
http://localhost:7791/connect/token POST
grant_type=refresh_token
&refresh_token={refresh_token}
&client_id=resource-owner-client
&client_secret=secret
に電話をかけることができ、これは新しいaccess_tokenは、refresh_token、expires_in、およびTOKEN_TYPEを返します。
しかし、私はclient_secretなしでそれをしたいです。 私の場合、クライアントは、開始アクセストークン、リフレッシュトークンなどが発行されたリモートアプリケーションです。
この呼び出しを使用しています。
http://localhost:7791/connect/token POST
grant_type=password
&scope=arbitrary offline_access
&client_id=resource-owner-client
&client_secret=secret&username=rat&password=poison
最初の呼び出しは、信頼され、秘密は知っているが、refresh_tokenの下流使い方はclient_secretを必要とすべきではありません。
これを設定するにはどうすればいいですか、または自分の抽象化をどこで動作させるにはどうすればよいでしょうか?
私はそれは、クライアントを検証したところのコードレビューをした、と私は欲しいものを行う能力は、私自身のIEndpointを実装してで着信コールをフック以外のいくつかの抽象化を経由して計上されていません非常に開始する。クライアントが悪い場合は、かなり早く退屈する。私のユースケースはそれほど珍しくはないと思っていました。おそらく私はカスタム・グラント・パスを下ろさなければならないでしょう。 –