Наши конечные точки webapi используются как для клиентов на основе браузера (угловые), так и для клиентов не на основе браузера (restsharp), и webapi в настоящее время защищены с использованием пассивной WS-Federation в качестве протокола и ADFS в качестве STS. В настоящее время мы используем довольно запутанный обходной путь для клиентов restsharp, поскольку пассивная WS-Federation на самом деле не оптимальна для клиентов без браузера, поэтому мы хотели бы найти лучший способ защитить наши конечные точки webapi для этих типов клиентов без необходимости замены ADFS или добавить дополнительную инфраструктуру.

Насколько я понимаю, OAuth2 «Предоставление учетных данных пароля владельца ресурса» (grant_type = пароль) будет хорошо поддерживать этот сценарий, но, к сожалению, в настоящее время он не поддерживается ADFS.

Итак, мой вопрос заключается в следующем: есть ли хороший способ использовать один поток OAuth2, который поддерживает ADFS, а именно «Поток предоставления кода авторизации» (grant_type = authorization_code), для поддержки клиентов без браузера?

Если это невозможно, могу ли я защитить конечные точки WebApi, используя WS-Trust и токены-носители, не прибегая к использованию WCF?