Как реализовать Implicit Flow для приложения Angular с использованием IdentityServer4

Question

Я читал Quickstart от IdentityServer4 и до сих пор сомневаюсь, как реализовать неявный поток для SPA.

Моя настройка следующая:

IdentityServer4 в качестве токен-сервера API, который нуждается в защите (с использованием WebAPICore) СПА с использованием Angular

Мой вопрос прост: является ли экран входа в систему, где пользователь вводит имя пользователя и пароль, предоставленным IdentityServer, или приложение Angular предоставляет это окно входа в систему? Если мы хотим использовать окно входа в систему, предоставляемое IdentityServer, лучше всего просто перенаправить его или оно должно отображаться внутри iframe в приложении Angular?

Answer 1

Если используется неявный (или любой другой поток на основе браузера, такой как гибрид или код авторизации), то пользовательский интерфейс входа в систему живет на IDP, и вы будете выполнять полное перенаправление браузера для выполнения интерактивной аутентификации.Как только сеанс IDP установлен, токен доступа, используемый для вызова вашего бэкенда, может быть обновлен в фоновом режиме в фоновом режиме.

Стоит также отметить, что неявный поток для клиентов JavaScript уже устарел, и вам следует использовать гибрид с PKCE,Последняя сборка oidc-client-js поддерживает гибридную установку, а также автоматическое обновление без вывода сообщений и мониторинг сеансов.