0

我正在寻找一些关于人们认为最好使用的技术集的指导。我们正在寻求创建一个门户网站,以允许客户使用标准凭据或其社交帐户(Google、Twitter 等)注册/登录。

一旦他们注册并登录到门户,他们就可以访问我们不同的网络应用程序,这些应用程序将根据令牌知道他们是谁以及他们拥有什么权限。我们还需要使用某种 OAuth 机制来保护一组 Web API,因此用户可能会在 Web 应用程序上创建一个帐户,然后创建一个应用程序,该应用程序将为他们提供从自己的访问 API 所需的密钥应用程序。

我们有一个使用 MVC 4 和 DotNetOpenAuth 的基本门户应用程序,它允许用户创建一个帐户并使用用户名和密码或其 Google、Facebook 帐户等登录。API 将是 MVC 4 Web API

理想情况下,整个设置需要尽可能简单,我曾简要研究过使用 Windows Azure 访问控制 (ACS) 来减少一些繁重的工作,但很难说出它们到底在哪里组合在一起。

目前,我们运行 ADFS 2.0 服务器和 WIF 以允许 Web 登录到我们的应用程序,但在集成社交登录和保护 Web API 时,它似乎不是一个理想的选择

我想这可能是两个完全独立的部分,一旦他们登录到门户,我们将如何向他们访问的其他应用程序提供某种声明令牌,以了解用户是谁以及他们被允许做什么。也许 Web API 身份验证/授权是它自己的实体?

谢谢你的时间

4

1 回答 1

0

我们最终使用了内置的 MVC 4 登录系统,还添加了 JWT 令牌支持,当用户登录时,包含他们的声明的 JWT 令牌存储为 cookie。然后,浏览器会自动在同一域上的我们的站点周围传递,当从 javascript 调用 Web API 时,它会检查浏览器发送的标头中的令牌,并对其进行验证并返回正确的数据或返回未经授权的响应.

它没有涵盖所有的基础,我们还不能让受信任的第三方访问我们的网络服务

于 2013-01-30T10:36:12.193 回答