一、背景

IdentityServer4的介绍将不再叙述，百度下可以找到，且官网的快速入门例子也有翻译的版本。这里主要从Client应用场景方面介绍对IdentityServer4的应用。

首先简要介绍ID Token和Access Token：

Access Token是授权第三方客户端访问受保护资源的令牌。 ID Token是第三方客户端标识用户身份认证的问令牌，是JSON Web Token格式。

 

---

 

二、Client应用场景介绍

Client类是为OpenID Connect或OAuth 2.0 协议建模的。

我们先看官网快速入门中给的Client例子

 public static IEnumerable<Client> GetClients()
        {
            // client credentials client
            return new List<Client>
            {
                new Client
                {
                    ClientId = "Client",
                    AllowedGrantTypes = GrantTypes.ClientCredentials,
                    ClientSecrets =
                    {
                        new Secret("secret".Sha256())
                    },
                    AllowedScopes = { "api1" }
                },

                // resource owner password grant client
                new Client
                {
                    ClientId = "ro.client",
                    AllowedGrantTypes = GrantTypes.ResourceOwnerPassword,

                    ClientSecrets = 
                    {
                        new Secret("secret".Sha256())
                    },
                    AllowedScopes = { "api1" }                },

                // OpenID Connect hybrid flow and client credentials client (MVC)
                new Client
                {
                    ClientId = "mvc",
                    ClientName = "MVC Client",
                    AllowedGrantTypes = GrantTypes.HybridAndClientCredentials,

                    ClientSecrets =
                    {
                        new Secret("secret".Sha256())
                    },

                    RedirectUris = { "http://localhost:5002/signin-oidc" },
                    PostLogoutRedirectUris = { "http://localhost:5002/signout-callback-oidc" },

                    AllowedScopes =
                    {
                        IdentityServerConstants.StandardScopes.OpenId,
                        IdentityServerConstants.StandardScopes.Profile,
                        "api1"
                    },
                    AllowOfflineAccess = true
                },

                // java script Client
                new Client
                {
                    ClientId = "js",
                    ClientName = "java script Client",
                    AllowedGrantTypes = GrantTypes.Implicit,
                    AllowAccessTokensViaBrowser = true,

                    RedirectUris = { "http://localhost:5003/callback.html" },
                    PostLogoutRedirectUris = { "http://localhost:5003/index.html" },
                    AllowedCorsOrigins = { "http://localhost:5003" },

                    AllowedScopes =
                    {
                        IdentityServerConstants.StandardScopes.OpenId,
                        IdentityServerConstants.StandardScopes.Profile,
                        "api1"
                    },
                }
            };
        }

里面主要介绍四种Client应用场景。

（1）客户端模式（AllowedGrantTypes = GrantTypes.ClientCredentials）

    这是一种最简单的授权方式，应用于服务于服务之间的通信，token通常代表的是客户端的请求，而不是用户。

    使用这种授权类型，会向token endpoint发送token请求，并获得代表客户机的access token。客户端通常必须使用token endpoint的Client ID和secret进行身份验证。

    适用场景：用于和用户无关，服务与服务之间直接交互访问资源

（2）密码模式（ClientAllowedGrantTypes = GrantTypes.ResourceOwnerPassword）

    该方式发送用户名和密码到token endpoint，向资源服务器请求令牌。这是一种“非交互式”授权方法。

    官网上称，为了解决一些历史遗留的应用场景，所以保留了这种授权方式，但不建议使用。

    适用场景：用于当前的APP是专门为服务端设计的情况。

（3）混合模式和客户端模式（ClientAllowedGrantTypes =GrantTypes.HybridAndClientCredentials）

       ClientCredentials授权方式在第一种应用场景已经介绍了，这里主要介绍Hybrid授权方式。Hybrid是由Implicit和Authorization code结合起来的一种授权方式。其中Implicit用于身份认证，ID token被传输到浏览器并在浏览器进行验证；而Authorization code使用反向通道检索token和刷新token。

    推荐使用Hybrid模式。

    适用场景：用于MVC框架，服务器端 Web 应用程序和原生桌面/移动应用程序。

（4）简化模式（ClientAllowedGrantTypes =GrantTypes.Implicit）

    Implicit要么仅用于服务端和java script应用程序端进行身份认证，要么用于身份身份验证和access token的传输。

    在Implicit中，所有token都通过浏览器传输的。