受信任桌面客户端的客户端凭据流或授权代码流（使用 PCKE）

Question

我正在为多个 API 开发身份验证/授权架构。

我使用 IdentityServer4 作为安全令牌服务 (STS)。

根据我从“Dominick Baier”（构建 IdentitySever4 的人之一）中读到的内容，只有两种类型的流应该使用：

• 客户凭证流。 （机器对机器）
• 授权码流程 + PCKE。 （对于迭代用户）。

我有几个 C# Web API 将与每个（机器对机器）通信，我将使用客户端凭据流。

但是还有一些 WPF 桌面应用程序需要访问一些 API，并且没有用户。 应该使用哪个流？

我已经读过：桌面/本机和移动应用程序应该使用授权代码流（使用公共客户端和 PKCE），因为它们托管在客户端，并且客户端/秘密可能被泄露（可能在桌面上应用程序我们可以加密秘密吗？但是需要管理一种方法来存储解密的秘密吗？）

然后我读到：“只要您有一个不关心最终用户身份的系统（并且只需要对系统进行身份验证），请使用 OAuth2 客户端凭据授予。”

目前，这是我的情况，我不关心最终用户的身份（但也许在不久的将来我会关心）。

因此，由于上述几点相互冲突： - 我应该使用哪个流程？ - 我可以拥有使用客户端凭据流的桌面客户端并且安全吗？

另外，我读过一些关于 Mutual TLS 的文章，如果我使用它，这会改变我应该使用哪个流程吗？

Answer 1

您不能信任客户端，因为您无法确定请求来自客户端。 还有一个问题是客户不善于保守秘密。 但是有不同类型的客户。

在服务器上运行的客户端通常具有单个任务，例如同步与用户无关的数据，适合使用客户端凭据流。 在某种程度上，他们可以保守秘密（在服务器上运行）。

您可以为每个实例使用唯一凭据，但这并不能使其更安全。 它可以帮助您识别客户端，但不会增加安全性。 安全是关于监控行为和检测异常。 或者可能通过过滤 ip 地址来缩小访问范围。

但是您不限于使用您提到的两个流程。 作为令牌提供者，您可以使用扩展授权扩展 IdentityServer 和自定义流。

如果没有用户，客户端凭据有点类似于资源所有者密码凭据 (ROPC) 流程（授权类型文档中不再涵盖但仍然存在的另一个选项，请参阅旧文档）。 从两者都可以自动化的意义上说，两者都不是真正安全的。 由于这些流程不需要用户交互，因此可以消除用户因素。

但我想知道为什么您的应用程序没有用户，在用户机器上运行。 因为理想情况下，您有一个客户端（没有秘密），用户登录并让客户端联系 api（ 委托）。

所以有两件事：你需要识别客户吗？ 如果没有，您可以使用 ApiKey，例如 Sendgrid。 你永远不能相信客户。 安全必须是服务器端。

所以基本上这并不重要，你无法做任何事情来让它更安全的客户端。 您唯一可以做的就是添加用户交互的要求。 所以也许现在您不需要它，但它会增加安全性并允许您将 api 访问权限委托给客户端。

Answer 2

要添加到 Ruard 的非常好的答案并指向一些链接：

对于您的 WPF 桌面应用程序，标准技术是打开系统浏览器进行登录，然后在您的应用程序中接收响应。 这有点棘手，但下面的 IdentityModel 代码示例显示了如何：

• 环回 Web 服务器示例
• 私有 URI 方案示例

我的资源

不过，用户体验有点棘手，所以要了解这种行为，您可能需要查看我的可视化博客文章。

• 环回代码示例 + 博客文章
• 私有 URI 方案代码示例 + 博客文章

博客文章附有几个代码示例，您可以在本地 PC 上轻松运行。