为用户提供对API的编程访问的正确方法是什么?
我的应用程序由许多服务(所有可信服务,在同一域内,而不是外部应用程序中)和同一域中的身份服务组成。 我想允许用户使用一组凭据来访问我提供的任何API。
在这种情况下将用户视为客户端是否合理,并使用clientCredentials流来获取将传递给目标API的令牌?具体来说,自动为我的系统中的每个用户分配clientId和clientSecret是一个好主意,并允许所有用户使用clientCredentials流来请求访问令牌?然后,访问令牌将包含所有用户的声明。如果这是一种合理的方法,有没有办法从添加的声明中删除“client_”前缀?或者这是一个坏主意?
这最初是在这里问的:https://github.com/IdentityServer/IdentityServer4/issues/1877