Nuestros puntos finales webapi se utilizan tanto para clientes basados en navegador (angular) como para clientes no basados en navegador (restsharp) y los webapi están actualmente protegidos mediante WS-Federation pasiva como protocolo y ADFS como STS. En la actualidad, utilizamos una solución alternativa bastante complicada para los clientes de restsharp, ya que la WS-Federation pasiva realmente no es óptima para clientes que no son navegadores, por lo que nos gustaría encontrar una mejor manera de proteger nuestros puntos finales webapi para este tipo de clientes sin tener que reemplazar ADFS o agregar infraestructura adicional.

Entiendo que OAuth2 "Concesión de credenciales de contraseña de propietario de recurso" (grant_type = contraseña) admitiría este escenario muy bien, pero desafortunadamente actualmente ADFS no lo admite.

Entonces, mi pregunta es la siguiente: ¿hay una buena manera de usar el único flujo OAuth2 que admite ADFS, a saber, "Flujo de concesión de código de autorización" (tipo_autorización = código_autorización) para admitir clientes que no están basados en el navegador?

Si esto no es posible, ¿puedo asegurar los puntos finales de WebApi usando WS-Trust y tokens de portador sin recurrir al uso de WCF?