我有一个JS网站,尝试通过传递用户名和密码来获取访问令牌。我也维护认证服务器,因此我认为JS客户端是可信的。我能够使用ASP.net 4.5.x实现这一点。但是当我尝试使用IdentityServer时,我收到了invalid_client错误。
我现在正在尝试使用ASP.net 5,并且我相信旧的OWIN中间件作为身份提供者的功能将不再得到支持,他们推荐使用IdentityServer作为身份提供者。
我认为IdentityServer首先需要客户端信息,但这意味着我必须在网页(或本机移动应用程序)上公开client_secret,我相信这是不被允许的,根据OAuth规范。
我们如何关闭IdentityServer的客户端要求?
在IdentityServer的github上,我只看到了C#代码,该代码收集客户端凭证以及用户名和密码,以获取资源所有者凭证流的访问令牌here。等价的原始HTTP请求是什么?
我个人并不关心另一个应用程序是否试图冒充我的客户端。真正允许访问任何内容的是用户的凭证。
我现在正在尝试使用ASP.net 5,并且我相信旧的OWIN中间件作为身份提供者的功能将不再得到支持,他们推荐使用IdentityServer作为身份提供者。
POST /connect/token HTTP/1.1
Host: localhost:59766
Content-Type: application/x-www-form-urlencoded
username=admin&password=pw&grant_type=password
我认为IdentityServer首先需要客户端信息,但这意味着我必须在网页(或本机移动应用程序)上公开client_secret,我相信这是不被允许的,根据OAuth规范。
我们如何关闭IdentityServer的客户端要求?
在IdentityServer的github上,我只看到了C#代码,该代码收集客户端凭证以及用户名和密码,以获取资源所有者凭证流的访问令牌here。等价的原始HTTP请求是什么?
我个人并不关心另一个应用程序是否试图冒充我的客户端。真正允许访问任何内容的是用户的凭证。