IdentityServer4 API 리소스에 대해 정의 된 비밀이 없으면 보안 취약점이 발생합니까?IdentityServer4 API 자원에 비밀이 필요합니까?
Introspection Endpoint를 사용할 때 다소 혼란 스럽습니다. 누군가가 Introspection 끝점을 사용하여 인증을 무시하고 정의 된 비밀이없는 API에 액세스 할 수 있는지 (API 이름 만있는 POST로 인해) 매개 변수로).
이것이 가능합니까? 또는 클라이언트 자격 증명 부여와 같은 것을 사용하는 정의 된 클라이언트를 통해서만 승인 된 내부 검토 끝점입니까?