Аутентификация углового приложения без учетных данных пользователя с OAuth и IdentityServer4

Question

У меня есть приложение Angular, которое взаимодействует с Asp.net Core API.Это общедоступное приложение, означающее, что пользователь не указывает имя пользователя и пароль для его использования.

Однако я хочу использовать IdentityServer4 для защиты API от прямых манипуляций.При взгляде на различные потоки учетных данных в IS4 клиентские учетные данные выглядели как нельзя лучше.Однако все сообщения там говорят о потоке кода авторизации.

Это лучший путь для спуска или это плохая идея?Как я могу это сделать?

Answer 1

Главный вопрос здесь - «качество доверия».В общем, сделать публичный js-клиент вообще невозможно.Любой может открыть консоль в браузере, скопировать запрос, вставить его в curl или postman и вызвать API.Однако если вы хотите просто заблокировать прямой доступ к get методам без маркера-носителя в заголовке, то чистых Client Credentials более чем достаточно.В противном случае вам нужно реализовать что-то особенное, например, полностью пользовательский грант или более простой CustomTokenRequestValidator, который будет вызываться из обычного потока (включая учетные данные клиента) и где вы можете выполнить некоторые дополнительные проверки(оба подхода обозначены здесь ).