Во-первых: я могу звонить на
http://localhost:7791/connect/token POST
grant_type=refresh_token
&refresh_token={refresh_token}
&client_id=resource-owner-client
&client_secret=secret
и это возвращает новый access_token, refresh_token, expires_in и token_type.
Однако я хочу сделать это без client_secret. В моем случае мои клиенты - это удаленные приложения, которым был выдан начальный access_token, refresh_token и т. Д.
используя этот вызов.
http://localhost:7791/connect/token POST
grant_type=password
&scope=arbitrary offline_access
&client_id=resource-owner-client
&client_secret=secret&username=rat&password=poison
Первоначальный вызов является доверенным, и секреты известны, но для последующего использования refresh_token не требуется client_secret.
Как я могу это настроить или где мне нужно будет кодировать свою собственную абстракцию, чтобы все работало таким образом?