asp.net-web-api – 用于IONIC2应用程序和Identity Server4的OAu

在过去的一天半里,我一直在研究oauth 2和IdentityServer4,可以说我认为在这种情况下使用的首选方法是混合流.似乎过去它是隐含的,因为移动客户端无法保护秘密.然后它似乎已经改为授权流程而没有秘密……(不知道这将如何工作)

我对IONIC和其他跨平台框架的理解是,它们通过将应用程序嵌入到Web视图中来工作,因此这就是我的困惑所在.从技术上讲,混合流程建议用于本机应用程序,而IONIC不是允许您使用的构建本机应用程序.

如果本机应用程序的推荐流程是混合的,但您使用的是IONIC,因此没有构建本机应用程序,那么混合流程是否仍适用？

同样,我的猜测确实如此,因为这将是一个在最终用户的机器上本地运行的应用程序,那么秘密在那里是不安全的.

这也让我感到困惑,因为还有其他流程,例如：基于凭证的流程,其中必须提供用户名和密码.这让我感到困惑,因为这通常是用户希望用户在移动应用中进行身份验证的方式.混合流似乎是一个不需要用户名和密码的流程.

我来自MVC4 Owin背景.

我的基本架构计划是这样的

> Auth服务器
> API
> IONIC应用程序