我们一直在使用Identity Server4和使用隐式流的SPA。我们使用oidc令牌管理器库,该库通过再次转到授权端点(重复隐式流程的步骤)在后台自动刷新访问令牌。这些客户端实现前渠道注销。
我们还支持一个客户端使用具有offline_access的混合流。当用户注销时,此客户端将(有意地)保留访问权限。
现在,我们正在添加新的ASP.NET客户端,它将使用混合流。当我们搜索Internet时,混合流中的所有示例都包含offline_access。 ASP.NET支持期望offline_access和使用刷新令牌。但是,这些客户端不打算在用户注销后继续工作,并且还将实现一次注销。那么,为什么我应该授予这些客户端脱机访问权限?
在这种情况下是否有最佳实践? 我可以做与oidc令牌管理器相同的操作,然后重新启动正常的混合流吗? 如果是这样,以前有人做过吗?