1
Erstens: Ich kann erfolgreich AnrufeIdentityServer4: refresh_token Mit einem neuen access_token zu erhalten, wenn Kunden kennt nicht die client_secret
http://localhost:7791/connect/token POST
grant_type=refresh_token
&refresh_token={refresh_token}
&client_id=resource-owner-client
&client_secret=secret
machen und diese gibt ein neues access_token, refresh_token, expires_in und token_type.
Allerdings möchte ich es ohne einen client_secret tun. In meinem Fall sind meine Clients Remote-Anwendungen, die einen Start Access_Token, Refresh_Token usw.
mit diesem Aufruf ausgegeben haben.
http://localhost:7791/connect/token POST
grant_type=password
&scope=arbitrary offline_access
&client_id=resource-owner-client
&client_secret=secret&username=rat&password=poison
Der erste Anruf vertrauenswürdig ist und die Geheimnisse kennen, aber stromabwärts Nutzung des refresh_token sollte nicht die client_secret erfordern.
Wie kann ich das konfigurieren oder wo müsste ich meine eigene Abstraktion programmieren, damit die Dinge so funktionieren?
Ich habe einen Code-Review von wo es dem Kunden war die Validierung und die Fähigkeit zu tun, was ich will ist über einige Abstraktion für andere als meine eigenen IEndpoint Implementierung und Einhaken des eingehenden Anrufs an die nicht berücksichtigt worden ist sehr Anfang. Wenn der Kunde schlecht ist, bricht es ziemlich früh aus. Ich hatte gehofft, dass mein Anwendungsfall nicht so ungewöhnlich ist. Vielleicht muss ich den benutzerdefinierten Zuschusspfad runter gehen. –