我正在开发一个带有WebApi 2后端的Angularjs网站,最终将被移动设备使用。我正在查看身份验证方面,我计划使用 JWT 令牌。
JWT 对我来说是新事物,在线示例似乎以不同的方式实现它。一些显示,在 ValidateClientAuthentication 方法中,您需要验证 ClientId,然后在 GrantResourceOwnerCredentials中验证用户名和密码,而其他示例仅显示用户名和密码被发送到身份验证服务器并在 ValidateClientAuthentication 中验证。
我猜因为 angularjs 是客户端,所以很容易获取客户端 ID,在这种情况下需要发送它
对我来说
,这篇文章 http://bitoftech.net/2014/07/16/enable-oauth-refresh-tokens-angularjs-app-using-asp-net-web-api-2-owin/回答了我的问题。
如果您没有使用刷新令牌,则实际上不需要发送客户端 ID,但由于您可能希望使用刷新令牌,因此您将发送它。切勿将客户端机密存储在不安全的应用(如 JS 应用)中,也切勿将客户端机密反向设计出来。
我肯定会推荐上面的文章,阅读它们,实施它们,你会明白这一切......或者至少为此有效!