Identity Server 3 Prise en charge d'OAuth2 sans OIDC

Question

Configuration: Nous utilisons Identity Server 3 avec une application Web API 2, une application de téléphonie mobile et un serveur d'identité amont.

Problème: Le serveur d'identité amont prend en charge OAuth2 mais pas OIDC.

Question 1: Identity Server 3 prend-il en charge OAuth2 sans OIDC sur le serveur d'identité amont?

Question 2: Ai-je besoin de configuration supplémentaire pour que OAuth2 fonctionne sans OIDC?

Answer 1

juste pour donner un peu de compréhension OAuth2 et OIDC:

OIDC est l'extension de OAuth2. OAuth 2 ne concerne pas l'authentification. Tout est une question d'autorisation. https://tools.ietf.org/html/rfc6749 OIDC est une couche simple au-dessus du protocole OAuth 2 qui traite de l'utilisateur final. Je ne suis pas vraiment sûr de vos détails de mise en œuvre, mais Identity Server 3 prend en charge OAuth2 ainsi que OIDC et tout dépend comment le client est configuré (flux) et ce que le client demande en termes de "ResponseType" comme une partie d'une demande de jeton à Identity Server 3.

Je sais que ceci ne peut pas être une réponse à vos 2 questions mais je pense que vous devez penser à l'interaction entre le client (application de téléphone portable), Identity Server 3, et le serveur d'identité amont. Si Upstream Identity Server ne supporte pas OIDC, il ne se soucie pas de l'authentification de l'utilisateur final et donc je pense qu'il ne nécessite qu'une sorte de clientId/clientecret qui pourrait être transmis dans le cadre de la demande pour obtenir un jeton? Machine à machine (flux de référence client). Alors peut-être que votre application de téléphonie mobile appelle le serveur Upstream Identity d'une manière différente de celle d'Identity Server 3? J'espère que cela a aidé un peu. Cheers