我正在研究 IdentityServer4 作为管理用户和 API 访问 token 的可能解决方案。不清楚的一件事是是否可以通过 API 调用提供身份验证,或者我们是否被迫使用由 IdentityServer4 托管的登录页面?
就移动应用程序中的用户体验而言,在应用程序内提供简单的登录屏幕总是比打开处理登录过程的网页更好。
我们是否被迫使用由 IdentityServer4 托管的登录/注册页面,或者可以通过 API 调用进行处理吗?
最佳答案
登录应该在 IdentityServer 网站上进行,原因很简单,客户端的用户凭据无法被信任。
当用户登录 IdentityServer 网站时,客户端仍然不知道凭据。用户要么已通过身份验证,要么请求被拒绝。
请注意,也不建议使用嵌入式浏览器来获得“良好的用户体验”,因为这将要求用户在不安全的环境中输入凭据(凭据可能会被捕获),即使显示 IdentityServer 网站也是如此。
为了用户体验,您可以使用 client_id 和 acr_values 作为附加参数来自定义 IdentityServer 上的登录页面。
关于identityserver4 - 使用 IdentityServer4 通过 API 进行用户身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59413043/