在Identity Server 6中，可以在应用程序请求时使用Cookies来获取Access Token。但是，如果使用的是非HTTP Only Cookies，导致存在XSS攻击的风险。因此，为了更加安全地获取Access Token，可以使用另一种方式来实现。

具体 使用Identity Server 6中提供的OpenID Connect（OIDC）协议中的Authorization Code Flow来获取Access Token。这种方式需要将Authorization Server和Resource Server分别放置在不同的服务器上，然后用一个客户端应用程序来向Authorization Server发送请求。而且，这种方式保证了Access Token的安全性和准确性。

代码示例：

首先，在Authorization Server上，需要配置OIDC中使用的scope和client，以及发送Authorization Code的Endpoint：

var scopes = new[] { "openid", "profile", "email", "address", "phone" };

var clients=new[] { new Client { ClientId="myclient", AllowedGrantTypes=GrantTypes.Code, RequirePkce=true, RedirectUris={ "http://localhost:5002/signin-oidc" }, PostLogoutRedirectUris={ "http://localhost:5002/signout-callback-oidc" }, AllowedScopes= new [] { "openid", "profile", "email", "address", "phone" }, } }；

app.UseEndpoints(endpoints => { endpoints.MapGet("/", async context => { await context.Response.WriteAsync("Hello World!"); });

endpoints.MapGet("/test", async context =>
{
    await context.Response.WriteAsync("Hello Test!");
});

endpoints.MapGet("/signin-oidc", async context =>
{
    var result = await context.AuthenticateAsync(IdentityServerConstants.ExternalCookieAuthenticationScheme);

    return result.Properties.GetParameter("returnUrl");
});

});

然后，在Resource Server上，需要配置OIDC使用的scope和Access Token：

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddJwtBearer(options => { options.Authority = "http://localhost:5000"; options.Audience = "myapi"; });

services.AddAuthorization(options => { options.AddPolicy("TestPolicy", policy => { policy.RequireClaim("email", "test@test.com"); }); });