我有一个问题,如果不支持,或者我做错了什么,我想表示。
我是本机应用程序(winforms),并且希望使用资源所有者密码流(发送客户端和用户凭据)来执行来自它的令牌请求(隐式流程通过webview类型的工作,但我不喜欢为了保持auth cookie的活着,我不得不保留那个webview。
第一个问题是我基本上试图在本机应用中建立身份,而且由于我坚持使用资源所有者密码流,我仍然坚持使用访问令牌。这样安全吗?我熟悉使用访问令牌(OAuth2)建立身份的漏洞。这就是推荐id令牌(OpenID Connect)的原因,但我使用的IdServer并不支持。那么这样安全吗?如果我无法检查受众群体字段以确保收到的令牌真的适合我的客户?
其次,如果我通过资源所有者密码流使用访问令牌,是否必须对令牌执行相同的签名检查?考虑到TLS信道应该在传输过程中提供保护。
谢谢,我希望有人能为我清楚这一点。