Я думаю об использовании IdentityServer4 для нового проекта. Я новичок в этом и провел некоторое чтение и видел некоторые демо-клиенты в действии.
Большинство клиентов в примерах позволяют войти в систему как пользователь и выдать токен.
Требование
У меня есть несколько приложений, например MVC / SPA / Mobile et c. Я sh хочу разрешить каждому приложению быть клиентом и вызывать API.
Мне нужна установка, в которой приложения могут вызывать защищенный API без входа пользователя. Таким образом, API защищен на основе областей .
Я знаю, что могу использовать поток client_credentials, чтобы получить access_token и вызвать мой API. Это хорошо для приложений, таких как MVC, поскольку секрет никогда не будет раскрыт.
Я прочитал, что этот поток не рекомендуется для мобильных приложений / приложений SPA и для использования потока кода авторизации, но я не могу показаться чтобы получить токен без запроса входа в систему как пользователь.
Вопрос
Какой другой поток я могу использовать для получения только access_token без входа в систему пользователя и сохранения моего приложение защищено?
Или я должен просто использовать поток client_credential в своих мобильных приложениях и SPA?