1.在需要授权时如何获得需要授权的应用clientId?
除了从Request.QueryString("client_id")中获得还有别的方法吗?例如通过OWIN中间件的某个属性?
2.客户端模式就是客户端直接向授权服务发起请求,和用户没什么关系,也就是说落网直接向微博提交授权请求,此类的请求不包含用户信息,一般用作应用程序直接的交互
3.在认证码模式中登录授权后可以允许第三方应用获取到登录用户的信息,但是如何取消授权?
a.清除掉认证服务器中对应客户端,对应用户的授权token
4.资源服务器中缺少验证AccessToken是否合法的代码,只是使用同样的machineKey能够解析header头中的加密字符串是不够的,例如认证服务器使用刷新令牌刷新了AccessToken,资源服务器仍然能够解析原AccessToken。例如两个客户端使用同一个AccessToken去获得用户数据都能够获取到
5.使用dotNetOpenAuth时,默认配置是不允许使用http访问的,要添加以下配置项
<dotNetOpenAuth>
<messaging relaxSslRequirements="true"/>
</dotNetOpenAuth>