我正在尝试在.NET Core 3.1上实现IdentityServer4,并且一直坚持使用
/authorize?response_mode=web_message&...
如OAuth 2.0 Web Message Response Mode specification中所定义。当使用静默身份验证时,此功能特别有用。
有人实施过web_message响应模式吗?
您是否已检查IdentityServer4支持此response_mode
?据我所知,它不是OIDC规范的一部分,但可以自己实现。
对于客户端应用程序,OIDC已经支持静默身份验证。客户端使用隐藏的iframe进行authorize
调用,而回调端点本身使用postMessage
API将结果传递给客户端应用程序。 oidc-client-js
库是开箱即用的。
对于服务器端应用程序,典型的方法是根据需要使用刷新令牌来自动更新访问令牌。