我正在尝试在解决方案中实施身份验证/授权。我在API网关下有很多后端服务(包括身份服务),“后端后端”服务和SPA(React + Redux)。我已经阅读了有关OAuth2.0 / OpenIdConnect的信息,但我不明白,为什么我不应该使用资源所有者密码流?
客户端(前端服务器的后端)是绝对受信任的,我可以简单地向用户发送登录名/密码到服务器,然后将其转发到身份服务器,接收访问令牌和刷新令牌,并将刷新令牌存储在内存中(会话,Redis)等等),并将访问令牌发送到SPA,然后将其存储在本地存储中。如果SPA将发送带有过期访问令牌的请求,则服务器将使用刷新令牌请求一个新请求,并将请求与新访问令牌一起转发给API网关。
我认为就我而言,带有重定向的流可以提供有价值的用户体验,并且过于复杂。
我误会了什么?如果如上所述实现身份验证/授权,我会遇到哪些困难?
oauth-2.0 jwt single-page-application openid-connect identityserver4
我想migrate从我的应用程序net 4.6.1到netcore2.0一些问题 Microsoft.SqlServer.Dac已经发生.我正在.dacpac使用文件从文件部署数据库DacServices (Microsoft.SqlServer.Dac 1.0.1),但这package supports只是net 4.6.1.如何.dacpac从netcore应用程序部署文件?谢谢你的回答!