Single Sign On z api internetowej i ASP.NET MVC 5

Question

szukam korzystać SSO z Web API 2.2 do wykorzystania w wielu zastosowaniach, w tym telefonii komórkowej i ASP.NET MVC 5.

mam podstawową ideę tworzenia tokena uwierzytelniania za pośrednictwem interfejsu API, ale mam kilka pytań:

1- Czy bezpiecznie przechowywać token uwierzytelniania w pliku cookie wraz z nazwą użytkownika?

2- Czy mogę powiązać to uwierzytelnienie z ramą tożsamości w mvc i móc korzystać z ról?

3- Jak mogę sprawdzić role? czy muszę wysłać żądanie do interfejsu API dla każdego kontrolera oznaczonego jako autoryzowany z określoną rolą, aby upewnić się, że jest to właściwa rola dla użytkownika?

4- Jeśli loguję się z aplikacji internetowej i otrzymuję token uwierzytelniający, a następnie próbuję zalogować się z telefonu komórkowego, czy wyśle ​​token?

Answer 1

Ok, więc odpowiem na to pytanie z tym, co zrobiłem.

Podstawowa konfiguracja będzie podzielony na trzy części:

1- Tożsamość serwera 4 (za pomocą rdzenia asp.net).

2- api WWW (przy użyciu rdzenia asp.net).

3- Strona klienta (przy użyciu kątowego 2), jednak można również użyć dowolnego frameworka po stronie klienta lub rdzenia asp.net.

serwer Identity generuje tokeny, które będą wysyłane z każdym żądaniem do API internetowej, a to ma wspierać tożsamość ASP.NET i role. W ten sposób możesz łatwo rozszerzyć go na telefon komórkowy i wysłać token z każdym żądaniem.

Link do serwera tożsamość 4 docs: http://docs.identityserver.io/en/release/quickstarts/6_aspnet_identity.html

Link do github, gdzie można znaleźć więcej przykładów: https://github.com/IdentityServer/IdentityServer4

android pracy z serwerem tożsamości 4: https://github.com/leo9223/Android-Resource-Owner-Flow-client-for-IdentityServer4

Uwaga: dla ASP .net mvc 5, można użyć uwierzytelniania cookies (które nie będzie działać na komórki), ale zapewni SSO dla poszczególnych zastosowań.