小编Mah*_*pta的帖子

我使用身份服务器 4 作为身份提供者。

获取成功登录的令牌后，我们将此令牌传递给资源服务器。

我的问题是资源服务器端的身份服务器提供者如何验证提交的令牌？

当我使用 fiddler 观察流量时，我没有看到任何将令牌提交给提供商进行检查的请求。

这意味着资源服务器端的 Identity Server 提供者本身正在验证令牌？

那么为什么我们需要在没有检查权限的情况下提供权限呢？

资源端的身份服务器提供者如何确保它是由有效的令牌提供者发出的？

我正在尝试为企业方案实现IdentityServer 4。

我了解用户已向身份服务器注册。

我的问题是如何向用户授予对应用程序的权限，就像需要用户分配给特定的应用程序一样，如果未分配应用程序，则应返回未授权状态。

如果用户需要访问多个应用程序，则需要多个分配。

我在寻找一种方式，身份服务器无效提交令牌，如果用户没有访问应用程序在一个去，即使挑战令牌，如果它是由用户访问其他应用程序提交的可能是有效的

我正在与身份服务器4一起为企业架构中的不同应用提供身份服务。

使用oidc-client.js在身份服务器4应用程序中使用隐式流注册了SPA应用程序，并且正在运行。

但是问题在于令牌更新，需要长时间保留用户登录名而又不要求用户再次登录。

为此，请使用以下配置实施静默令牌续订。

var config = {
    authority: "http://localhost:5000",
    client_id: "jswebclient",
    redirect_uri: "http://localhost:5003/callback.html",
    response_type: "id_token token",
    scope: "openid profile api1",
    post_logout_redirect_uri: "http://localhost:5003/loggedout.html",
    automaticSilentRenew: true,
    silent_redirect_uri : "http://localhost:5003/callback.html" }; 

var mgr = new Oidc.UserManager(config);

使用上述配置时，会发生自动续订，但没有按预期进行静默续订，正在发生将页面重定向到重定向uri的完整页面，以处理来自身份服务器的响应。

例如：index.html是我的实际页面，在其中进行静默更新，而callback.html是重定向uri，index.html重定向到callback.html，然后更新，然后重定向回到index.html，并附有实际的网络日志下面，

任何人都可以帮助我解决问题以使更新无声发生吗？