Ecco l'accordo. Ho un'applicazione web .NET MVC5 che sto passando allo standard OpenID Connect.
Mi piacerebbe anche poter accedere ai metodi del controller da un'app mobile (molto simile a un'API) per inviare e ricevere dati JSON.
Se ho capito bene, il Flusso implicito ha clienti che recuperano un id_token dal provider OpenID a scopo di autenticazione. Nel caso di un'app mobile, se richiaro un id_token per un client_id che corrisponde al client_id della mia applicazione web, dovrei essere in grado di usarlo per autenticare l'app con il mio back-end web, giusto?
E un Flusso del codice di autorizzazione mi fornisce un token di accesso che mi consente di recuperare i token di aggiornamento in modo da mantenere l'autorizzazione per periodi di tempo più lunghi. Questa autorizzazione quindi si applica automaticamente al mio back-end web, o devo anche eseguire il ping del mio sito web in modo che mi assegni un codice di autorizzazione che recupera da, diciamo, Google?
Infine, c'è un flusso ibrido che combina i due, fornendo un id_token per l'autenticazione, un token di accesso che può essere utilizzato immediatamente per accedere alle risorse delle mie applicazioni web e un codice offline_access che consente al web applicazione per ottenere token di aggiornamento per conto dell'utente anche quando non utilizzano l'applicazione.
Sto pensando a tutto questo? Il mio metodo di autenticazione con la mia applicazione Web dal mio client Android nativo non è affatto un problema di OpenID Connect? Cosa useresti in questa situazione?