代码之家 › 专栏 › 技术社区 › Sathish

Asp。使用Owin示例的Net Web Api安全性

sample owin asp.net-web-api2 oauth-2.0 c#

Sathish · 技术社区 · 6 年前

我正在努力实现基于OWIN的身份验证和授权。下面是我计划如何实施的。

1) 一个基于前端的应用程序,具有匿名访问权限,用户可以注册该应用程序,它将在我们的数据库中等待批准。管理员用户将审查用户并批准他们提供必要的角色。 2) 如果由OWIN授权服务器授权,这些用户可以通过传递凭据来使用我们的不同API来获得响应。 3) owin身份验证/授权作为一个单独的服务,因此它可以被多个应用程序用于身份验证/授权和生成令牌。

我的问题是

1) 我的方向正确吗?这种方法有效吗? 2) 这些应用程序是在不同的解决方案中构建的,是否有一个示例?

我看到的所有示例都使用默认模板和示例方法。请帮我拿任何这样的样品。

1 回复 | 直到 6 年前

Deniss Kulakov 6 年前

基本上,我认为你在正确的轨道上。但是在用户注册后,我不太了解您的工作流程。当用户注册并且其数据存储在DB中时,您应该已经向他提供了登录(身份验证)的能力-向他发送一个令牌(承载/刷新)和一些基本声明。同时,如果需要限制经过身份验证的用户使用API的能力,那么可以通过实现角色管理(授权)来实现这一点。

看见 this guide 关于将授权服务器与资源服务器分离。此链接可能看起来有点旧,但提供了工作流的工作示例/理解。

此外,对于身份验证,我建议您坚持使用Json Web令牌,因为它们提供了一种通过声明传输经过身份验证的用户状态的体面方式。看见 this link. 和 this guide 。