8

我想使用我的 API 网站对用户进行身份验证和授权,并理想地保持我的 UI 网站纯静态内容(html、js、css)。我已经配置了 ServiceStack 的 OAuth 和 OpenId(以及凭据/基本)提供程序,因此它们可以响应api.mysite.com/auth/{provider}请求

我希望www.mysite.com的用户能够进行身份验证,然后通过 ajax 调用 API 站点。

BootstrapApi 示例项目- 虽然非常有用 - 演示了在同一域上运行的 API 和网站。

  • 使用静态javascript客户端这可能/安全吗?
  • 我可以在子域之间共享 cookie 吗?
  • 我可以将访问令牌返回给客户端并在每次请求之前使用它来计算授权标头吗?
4

1 回答 1

2

为了解决您的问题 -

  • 使用静态javascript客户端这可能/安全吗?是的
  • 我可以在子域之间共享 cookie 吗?是的
  • 我可以将访问令牌返回给客户端并在每次请求之前使用它来计算授权标头吗?当然可以,但您也可以只使用内置的身份验证 cookie。

这只是在顶级域上设置 cookie 的问题,类似于@ServiceStack - 域和子域的身份验证

于 2013-05-28T18:54:56.003 回答