我正在研究IdentityServer4作为管理用户和API访问令牌的可能解决方案。尚不清楚的一件事是,是否可以通过API调用提供身份验证,还是我们被迫使用IdentityServer4托管的登录页面?
就移动应用程序中的用户体验而言,在应用程序内提供一个简单的登录屏幕总比打开一个处理登录过程的网页更好。
我们是否被迫使用IdentityServer4托管的登录/注册页面,还是可以通过API调用来处理它?</ p>
答案 0 :(得分:3)
登录应该在IdentityServer网站上进行,原因很简单,即使用用户凭据无法信任客户端。
当用户登录IdentityServer网站时,客户端仍然不知道凭据。用户已通过身份验证或请求被拒绝。
请注意,也不建议使用具有“良好用户体验”的嵌入式浏览器,因为这将要求用户在不安全的环境中输入凭据(可能会捕获凭据),即使显示了IdentityServer网站也是如此。
为获得用户体验,您可以将client_id和acr_values用于其他参数,以自定义IdentityServer上的登录页面。
答案 1 :(得分:0)
从documentation进行读取就足以对服务器进行API调用。 在服务器端,将使用IdentityServer框架开发后端,该后端将处理登录/注册API调用。
作为参考实现,您可以查看官方的demo并检查网络呼叫。