IdentityServer3 - クライアントと秘密

Question

いくつかのチュートリアルで、いくつかのWeb APIエンドポイントへのアクセスを許可するためにIdentityServer3の問題/ハンドルトークンを使用できるかどうかを確認します。

私が十分に理解していない概念の1つは、ClientとSecretです。以前のプロジェクトでOAuthを使用した場合、ヘッダにclientまたはsecretの値を渡す必要はありませんでした。私はgrant_type、username、およびpasswordを渡しただけです。しかし、IdentityServerは、grant_type、username、およびpasswordと一緒にclientとsecretを期待しているようです。

なぜclientが必要ですか？ IdentityServerはクライアントのタイプに関係なくベアラトークンを返すだけではいけませんか？また、secretパラメータの目的は何ですか？これはJWTトークンの署名を作成するために使われますか？

Answer 1

client_idおよびclient_secretは、part of the OAuth specであり、Identity Server固有の実装ではありません。これらはクライアント登録の一部であり、アクセス制御リストと考えるのは、要求側が要求されたフローとスコープを使用してアクセストークンを受け取る権限を持っているかどうかを確認することです。

登録されていないクライアントはsupported in the OAuthですが、まだ私は1つも出会っていません。あなたがclient_secret、client_id、passwordのgrant_typeを必要ResourceOwnerフローを使用して、複数のscope年代、usernameとpasswordされている、それの音から

。

およびclient_secretは、Basicスキームを使用してAuthorizationヘッダーで送信されたbase64エンコードされたものでもかまいません。

シークレットはJWT検証には使用されず、受信クライアントの検証にのみ使用されます。