Наше приложение аутентифицируется с использованием OAuth2 / OIDC с помощью реализации IdentityServer4.
Обычно пользователи выполняют вход через неявный поток через браузер.
Мы хотели бы, чтобы сторонние приложения могли встраивать наши, и, следовательно, должны иметь возможность выполнять тихий вход в наши приложения.,Мы не можем полагаться на стороннее приложение, использующее OAuth для своей собственной аутентификации;Единый вход не возможен.
Я собираюсь назначить каждому стороннему клиенту идентификатор клиента и секрет.Стороннее приложение будет запрашивать токен доступа (на канале на стороне сервера), используя эти учетные данные клиента и дополнительное требование идентификатора пользователя, которое будет встроено в токен.Этот токен доступа затем может быть включен в неявный запрос входа в поток.Если он присутствует, нормальный неявный поток будет пропущен, и он будет аутентифицироваться с использованием идентификатора пользователя в токене.
Является ли это допустимым средством достижения тихой аутентификации из стороннего приложения?Есть ли другой поток, который я должен использовать для достижения этой цели?
Я знаю, что вопросы, связанные с имитацией (если это то, что это), задавались ранее (например, IdentityServer4 - Как реализовать олицетворение ).
Однако я прошу уточнить, что мой подход выше верен / неверен.
Большое спасибо заранее.