我想使用ASP.NET Web API 构建RESTful Web服务,第三方开发人员将使用它来访问我的应用程序的数据.
我已经阅读了很多关于OAuth的内容,它似乎是标准的,但找到一个很好的样本,文档解释它是如何工作的(实际上确实有效!)似乎非常困难(特别是对于OAuth的新手).
是否有实际构建和工作的示例,并说明如何实现它?
我已经下载了很多样本:
我还看过一些博客,建议一个简单的基于令牌的方案(像这样) - 这似乎重新发明了轮子,但它确实具有概念上相当简单的优势.
似乎在SO上有很多这样的问题,但没有好的答案.
每个人在这个领域做什么?
我对WCF样本真的不感兴趣.我发现的DotNetOpenAuth实现也不完整或假设为WCF.我发现Thinkitecture.IdentityServer.45不是轻量级的,不适合构建我的新WebAPI项目.我甚至发现Oauth2DotNet项目几乎没有真正的信息.
微软已发布了一些 Oauth/OpenID相关项目,但我甚至找不到适合这些项目的文档.
我的项目:创建一个新站点,为使用.NET 4.5和ASP.NET WebAPI的授权移动应用程序提供"REST样式"API服务.由于这些应用程序不一定必须代表用户行事,我们认为"双腿"Oauth是可以接受的,因为我们希望能够在特定应用程序退出时关闭并拒绝访问我们的API.手.
在所有这些中,我花了一周时间尝试使基本实现工作,但甚至无法识别各种令牌类型以及构成令牌本身的内容.这真的不应该那么困难,我发现缺乏有关主题的基本信息非常令人沮丧.是的,这些规格已经公布,但是它们没有被提炼出来并准备好实施.
我希望扩展到与WepAPI的Authenticate属性正确集成的理想解决方案,可能作为ActionFilter/AuthorizationFilter,这样我就可以在尝试授权访问一个或多个优雅的REST-ful API方法之前识别和验证远程应用程序.
哪里是"入门"?