我知道那里已经有很多问题了,我已经阅读博客并查看示例已经一个多星期了,但对于其中一些在现实世界中如何发挥作用,我仍然有些模糊。这些样本非常有帮助,有些非常复杂,有些很简单,没有一个能够真正澄清我的一些问题。
该系统包括:
- Web 应用程序(自己的 IIS 站点,使用 SSL,使用公共 API)
- 公共 API(自己的 IIS 站点,使用 SSL)
- 桌面小部件
- 移动设备(iOS、Android)
- 第 3 方应用程序
如何最好地处理用户注册和帐户创建?在提供 OpenID 的同时,还需要对 Web 应用程序进行“本地”登录。在 API 上拥有一个接受基本数据类型(字符串/日期等)值然后创建帐户的方法是在给垃圾邮件发送者带来麻烦和危险信号。最好只通过使用视觉验证码检查的网站来处理这个问题?Facebook 移动应用如何处理这种注册场景?
许多示例似乎也使用了默认表单身份验证数据库的一小部分作为成员资格。然后,他们根据用例以各种不同的方式使用 Entity Framework 和 Membership、WebSecurity 或 FormsAuthentication、Roles Provider 类。对于安全后端,是否有任何替代方法可以考虑?我们的数据库人员正在考虑推出我们自己的,但我们还需要构建自己的用户管理应用程序:(
一旦用户注册并登录到 Web 应用程序,我就看不到继续对 WebAPI 上的每个调用进行身份验证和授权的任何方法。我目前假设 API 应该只实现 OAuth 并将 Web 应用程序视为另一个客户端应用程序,如移动应用程序和 3rd 方应用程序。
我想我已经阅读了太多,没有玩代码来解决这个问题。有很多方法。
TIA,