我正在尝试使用单独的授权和资源服务器实现Web API,并且我已经阅读了Taiseer Joudeh关于该主题的优秀教程(http://bitoftech.net/2014/10/27/json-web-token-asp-net-web-api-2-jwt-owin-authorization-server/)
简而言之,资源服务器向授权服务器注册自己以获取唯一的客户端ID和加密密钥,以便为一个资源服务器发出的令牌对另一个资源服务器无效。
但是,本教程没有介绍客户端应用程序如何从授权服务器获取特定资源的JWT令牌。据我所知,客户端应用程序需要资源服务器的唯一ID,以便从授权服务器获取正确加密的令牌。
现在,我能想到的唯一方法是资源服务器公开一个返回该Id的不安全的GET方法,但这看起来非常不安全。
我正在假设一个客户端应用程序从授权服务器请求一个令牌,它存储然后用来访问资源服务器,但我对WebApi2的主题很新,所以我猜我我在这里错过了什么。