1

我正在设计一个安全后端,它应该为多个客户端提供令牌以保护多个 API。用户数据库位于 Azure B2C https://azure.microsoft.com/en-us/services/active-directory-b2c/中。我想创建包含基于用户访问权限的不同声明的 API 令牌。例如:用户 A 应该能够调用 /api/stores/11,但不能调用 /api/stores/12。

用例:

  • 直接进入 Azure B2C 以进行用户登录和生成令牌的应用 (ipad)。使用此令牌调用 API 以进行用户个人资料社交互动等。
  • 将调用具有访问权限限制的相同 API(不同模块)的外部系统。外部系统将有管理员,他们也将从 Azure B2C 获取凭据。

到目前为止我的解决方案:

  1. IdentityServer4 ( https://github.com/IdentityServer/IdentityServer4 ) 调用 Azure B2C 登录来验证用户凭据。
  2. 一旦身份验证完成(回调),IdentityServer 将应用用户对外部系统拥有的任何声明(访问权限等),然后生成一个令牌。IdentityServer 将有一个本地数据库,该数据库将用户 ID/电子邮件与访问权限连接起来。
  3. API 将使用多租户身份验证提供程序来支持来自 Azure B2C 的令牌和我的“中间”IdentityServer。提供者分别是 IdentityServerAuthentication 和 OpenIdConnectAuthentication。

我的问题是这是否是一个可行的解决方案?是不是太复杂了?在这种情况下你会做些什么不同的事情?我不想实现第二个用户登录,Azure B2C 似乎不支持细粒度的访问权限。

先感谢您。

4

2 回答 2

4

这实际上是一种非常常见的架构。

核心身份和令牌平台归所有——这是唯一明智的做法。

然后,您可以使用任何机制(在您的情况下为 Azure B2C)进行身份验证。将来您可能希望添加带有用户的本地数据库或其他一些身份验证机制。这完全没问题。

重要的一点是 - 您的应用程序并不关心这一点。他们只知道您的平台(在您使用身份服务器构建的情况下)。如果您决定有一天您需要更改您的身份验证提供程序 - 那很好。您的应用程序不受这一事实的影响。

此时,您的应用程序和服务只需要信任来自身份服务器的令牌 - 身份服务器负责与外部各方代理信任。

于 2016-08-30T05:53:55.250 回答
1

这对于 IdentityServer4 来说是非常可行的。可以满足您的用例。我建议检查样品

于 2016-08-29T17:38:29.133 回答