我正在开发一个无浏览器应用程序,该应用程序需要访问两个API-应用程序API(只读,例如远程配置(和用户API(读写,例如用户首选项(。
应用程序在本地存储了客户端ID和机密,因此利用客户端凭据流访问应用程序API。现在,我需要用户能够访问用户API,我想知道如何配置后端(在本例中使用IdentityServer4(来实现这一点。API应该受到保护,这样只有经过身份验证的用户才能访问它,并计划阅读发送的声明以识别用户。
我应该扩展现有的客户端ID以也允许设备流授权类型,还是仅仅为该"客户端"创建一个单独的客户端;"仅限用户";流
我是OAuth的新手,我想确保我做得对,这样一切都是安全的。
始终使用不同的OAuth客户端进行不同的客户端连接,这将为您提供更多的控制:
- 访问令牌生存期等规则可以根据需要进行不同设置
- 可以在不影响其他客户端的情况下禁用受损的客户端(如机密被盗(
- 度量和日志记录也将更有用
通常很容易通过管理UI在授权服务器中轻松配置多个客户端。