私が取り組んでいるプロジェクトは、Web API、単一ページの反応アプリケーション、およびモバイル・アプリケーションで構成されています。 Web APIの保護された部分にアクセスするには、各クライアントから、ユーザー名とパスワードを提供する必要があります。私はのIProfileServiceとIResourceOwnerPasswordValidatorの実装を使用するIdentity Server 4認証サーバーを設定しました。これはASP.NET Core Identityを使用しているためです。これにより、Identity Serverは、ASP.NETコアID UserManager,RoleManagerおよびSignInManagersにアクセスし、提供されたユーザー名とパスワードが有効かどうかを判断できます。アイデンティティ・サーバー4とASP.NETコアID
私がこれすべてのために使用している認可タイプは、 "ResourceOwnerPassword"タイプです。私は完全に単一ページアプリケーションに認証を統合していませんが、ユーザーのユーザー名とパスワードをIDサーバーに渡すことができ、APIへのリクエストのヘッダーに追加できるトークンが生成されます。
アイデンティティ・サーバーと関連テクノロジーについて私はこれを初めて学んだので、これまでより多くの調査をしました。 ResourceOwnerPassword許可タイプを使用することは望ましくないようです。暗黙の許可タイプを使用する必要があるように見えますが、ユーザー名とパスワードがそのフローにどのように適合するかは完全に理解できません。誰がどのタイプの私が使用すべきであるかについての洞察を持っていますか?私が記述したシステムは、ResourceOwnerPassword付与タイプのみを使用していますか?