我正在构建两个单独的 ASP.Net WebApi 应用程序,它们将在同一个域(不是子域)下运行,加上一个处理身份验证的 STS,并将作为用户帐户存储。
客户端通过微风.js/angular.js 连接到该 API。所以我认为 JWT (JSON Web Token) 将是我对令牌的选择,因为我不想使用表单身份验证。
如何仅通过域名实现 STS 和应用程序之间的信任?我发现了一些 WS-Federation 信任样本,但我认为这对我需要构建的东西来说太过分了。
问问题
2002 次
1 回答
2
不确定“按域名”是什么意思。
典型的流程是:
- 客户端从授权服务器(使用 OAuth2)请求(JWT)令牌
- 客户端使用授权标头将令牌发送到 API
JWT 由授权服务器签名 - API 验证签名。
因此,API 和授权服务器之间的信任是通过能够验证令牌(使用签名、颁发者名称和受众名称)来建立的。
也可以在这里查看: https ://github.com/thinktecture/Thinktecture.AuthorizationServer/wiki
于 2014-03-11T05:42:47.347 回答