有点像OAUTH的初学者,想问我是否理解正确的东西.我正在使用OWIN和C#,我设置了以下场景:
用户向我的令牌端点发出请求,并使用grant_type密码传递用户名/密码.如果凭证有效,那么我创建一个JWT.
用户返回JWT,然后客户端使用该令牌继续执行所有请求
任何需要授权的请求我都使用令牌的声明来确保允许用户发出此请求.
那么client_id和client_secret在哪里呢?这只是一个额外的安全层,说"在你甚至可以获得一个令牌之前,你需要传递另一套凭证(id/secret),只有这些凭证有效,除了你提供的用户名/密码之外,还可以你回来了JWT?
想了解这两者有什么关系 - 非常感谢!