Il mio scenario è questo, ho la mia web API che voglio proteggere da persone esterne, ma voglio consentire l'accesso per le mie applicazioni che potrebbero essere eseguite in Windows Form / android / ios / etc ... [considerato clienti pubblici].
Uso il server identità 3 ( Link Github ) come implementazione del mio provider di identità.
Il mio pensiero iniziale è stato generare un ID client + segreto e metterlo (in qualche modo) in tutti i client, ma questo è considerato pericoloso perché i client pubblici non dovrebbero avere segreti su di esso, perché con più o meno sforzo si può sempre avere accesso a esso.
Quindi qual è il modo migliore per proteggere la mia API Web? Ho il controllo delle API Web, dei client e del server Identity, perché sono tutti i miei prodotti.