标签: identityserver3
我正在尝试使用IdentityServer3为我的ASP.NET Web API v2实现身份验证/授权。客户端是一个简单的HTML和jQuery应用程序。客户端使用AJAX对我的后端API进行一些API调用。
我仍然对client secret的需要感到困惑。用户名/密码组合不应该足以让IdentityServer3交还JWT令牌吗?
client secret
答案 0 :(得分:1)
这取决于流量。隐含流(听起来适合您的场景)不需要客户端秘密。
每当您与令牌端点通信时,您都需要一个客户机密钥。