我们正在 Wordpress 和 Linux 服务器上构建面向公众的网站。用户将使用 OAuth2 登录 WordPress 站点。我们的数据和 API 将构建在 ASP.net MVC4 服务器上。我有几个问题需要解决,并试图找出在 IIS 服务器上进行身份验证的最安全方法。1. 我需要使用 Wordpress 进行身份验证。2. 我需要将客户编号与上述 1 的登录名相关联。3. 不知何故,我需要能够使用该关联的客户编号和一些身份验证来允许 IIS 服务器为请求的 API 提供服务。
一些想法是为每个客户编号存储某种 UUID 并将其存储在 WP 和 IIS 服务器上,然后当请求进入 IIS 时,确认传递的 UUID 与在上面的步骤 2 中发布给 WP 服务器的内容相匹配。我担心的是,这个 UUID 可能会在以后被泄露/伪造,并且 UUID 可用于调用 IIS 服务器上的 API。
在允许客户仅在 Wordpress 服务器上登录的 IIS 服务器上实施安全性的最佳方法是什么?