Nossos pontos de extremidade da webapi são usados para clientes baseados em navegador (angulares) e não baseados em navegador (restsharp) e a webapi está atualmente protegida usando a Federação WS passiva como protocolo e ADFS como STS. Atualmente, usamos uma solução alternativa bastante complicada para os clientes restsharp, já que a WS-Federation passiva realmente não é ideal para clientes que não são navegadores, portanto, gostaríamos de encontrar uma maneira melhor de proteger nossos pontos de extremidade de webapi para esses tipos de clientes sem precisar substituir o ADFS ou adicione infraestrutura extra.

Meu entendimento é que "OAuth2" Concessão de credenciais de senha do proprietário do recurso "(grant_type = password) ofereceria suporte a esse cenário muito bem, mas infelizmente atualmente não é suportado pelo ADFS.

Portanto, minha pergunta é esta: existe uma boa maneira de usar o fluxo OAuth2 suportado pelo ADFS, ou seja, "Fluxo de concessão de código de autorização" (grant_type = permission_code) para oferecer suporte a clientes que não são baseados em navegador?

Se isso não for possível, posso proteger os pontos de extremidade WebApi usando WS-Trust e tokens de portadora sem recorrer ao WCF?