0

我的任务是为我们的移动应用程序和未来的第三方创建一个 Web API,以访问我们的数据等。

仅此一项就足够简单了,但是我需要保护它。最初,在阅读了有关 OAuth 并进行了一些研究之后,我决定采用基于安全令牌的本地开发路线,利用网上找到的最佳实践来确保安全。我的原型运行得非常好,但不幸的是,该公司希望使用 OAuth,因为它是一个公认的标准,并且被认为对我们的客户有市场。

Soooo,在过去几天我的头撞到了多堵墙之后,我很好奇是否有人使用 OAuth 作为服务提供者,然后使用 ASP.NET Web API 客户端作为消费者的实现。

设想的工作流程是移动应用程序将访问 API,而 API 反过来会期望我们的自托管 OAuth 服务提供商发出令牌。我还没有在网上找到任何关于此的综合文档或示例。到目前为止,我所看到的一切都是非常零碎的,因此尝试实施任何事情都非常令人沮丧。

4

1 回答 1

1

嗯 - 当然有 OAuth 规范(因为你似乎喜欢手工制作东西;))https://www.rfc-editor.org/rfc/rfc6749和相应的威胁模型 - https://datatracker.ietf。 org/doc/html/draft-ietf-oauth-v2-threatmodel-08

我们的 OAuth2 authZ 服务器/sec 库也有一个实现 - 我在这里编译了一些文档:https ://github.com/thinktecture/Thinktecture.IdentityServer.v2/wiki

于 2013-03-13T20:05:28.580 回答