,请参见RFC 8252 -OAuth 2.0。
我有一个与多个服务通信的网络和移动应用程序。我正在考虑使用Identity Server 4进行身份验证和授权,但我被困在为移动应用程序选择正确的流程。阅读和观看了几次视频后,我认为混合动力更安全,更好,但是考虑到我们是我们的应用程序用户,我们没有使用任何外部提供商,因此使用混合流程使用混合流程是没有意义的。
。与我们的应用程序用户进行OpenID交互流程似乎不是很友好。
所以我不确定适合移动流的正确,安全和长期存在的令牌流。
与PKCE的混合流是移动应用程序的最佳实践。这为您提供了最安全的用户和客户端身份验证,您可以使用在移动设备上运行的公共客户端。
授权代码也可以接受,但是使用混合动力,您会获得一个身份令牌,您可以在公开秘密或验证代码之前立即验证。
有关本机应用程序的最佳实践和深入说明。