問題タブ [webauthn]

Identity Server 4 を使用して WebAuthN ( https://w3c.github.io/webauthn/ ) でユーザーを認証しています。

API クライアントにヒットする複数のクライアントがあります。私の API クライアントは、使用する認証プロバイダーの決定、データの受け渡し (サーバーからサーバーへ、サーバーから外部 API へ)、および認証プロセスの調整を担当します。

私たちが所有している認証プロバイダーの 1 つは ID サーバー 4 であり、ここに WebAuthN を実装しています。

Identity Server 4 でこれを実装するための推奨される方法がどれかわかりません。選択肢は 2 つまでです。

1. ID サーバーに API エンドポイントを作成して、ユーザーの資格情報を認証する
2. 拡張付与タイプを作成し、新しい付与タイプを使用して TokenEndpoint API を呼び出します (私の拡張付与タイプは、組み込みのハイブリッド付与タイプとそれに続く WebAuthN コードの混合になります)。

セキュリティの観点から (穴を開けるのではなく) 両方の方法が有効であり、ID4 に適合しますか、それとも別の方法がありますか?