Implementieren OpenID Connect ohne OIDC-client-js

Question

ich beschäftigt bin ein neues Reagieren vorderen Ende mit einer .net-Core API Integration Identity Server 4.

mit

Die Bewegungsart wir Passwort Ressourcen Besitzer Credentials verwenden ist.

Es gibt zwei Gründe, warum ich möchte nicht OIDC-client-js verwenden:

1. Es 433 KB ist
2. Es ist nicht unsere Bewegungsart I

Im Moment unterstützt bin in der Lage, das Discovery-Dokument zu erhalten und mich mit dem Token_endpoint einzuloggen. Die Rückgabe nach dem Login beinhaltet: access_token, expires_in und token_type aber nicht session_state.

Ich versuche derzeit, den CheckSessionIFrame zu replizieren, wie im Repository oidc-client-js zu sehen ist.
Es ist mit Callback, client_id, URL & Intervall konstruiert und begann durch die Übergabe in der session_state.

Mein Problem ist, dass ich nicht herausfinden kann, wie man die session_state von Identity Server 4. bekommen

1. ich über die Situation einen Rat als Ganzes schätzen würde.
2. Können Sie mir erklären, wie ich den Session_State bekommen kann?

Vielen Dank
Charles

Answer 1

Ressourcen Besitzer Fluss erlaubt keine Sitzungen, weil es eine Strömung browserloser ist ähnlich wie die Client-Anmeldeinformationen fließen. Mit anderen Worten, IdentityServer4 kann kein Cookie für Ihre Sitzung ausgeben.

oidc-js unterstützt wahrscheinlich keine Passwortvergabe, weil es ein einfacher, erholsamer Anruf ist, nichts zu kompliziert.

Wenn Sie eine Checksitzung wünschen, müssen Sie einen auf menschlicher Interaktion basierenden Fluss wie den impliziten Fluss verwenden.