我发布这篇文章是希望收到一些反馈意见/建议和有关我过去几天一直在努力的事情的信息.首先,我将对项目进行快速细分.
解决方案中有2个应用程序:
WebAPI资源和授权服务器 - 使用OWIN(在IIS中托管)和ASP.NET标识在正确的登录上发出身份验证令牌,然后允许对各种控制器的请求.
MVC客户端应用程序 - 目前还没有授权(直到我搞清楚),但会调用WebAPI资源服务器来获取所有数据.这些调用只能来自客户端应用程序中控制器的操作,而不是客户端AJAX调用.
客户端应用程序没有自己的数据源.所有信息都存储在WebAPI服务可以访问的数据库中,因此,如果它们提供了正确的凭据并且客户端应用程序收到了承载令牌,我需要为应用程序提供一种方式来将其视为已授权.
我最初担心的是我在滥用Bearer Tokens并试图将它们拼凑成一个不理想的解决方案.到目前为止,我发现的所有外部授权示例通常都涉及拨打由Google/Facebook/Twitter托管的提供商来检查用户是否是他们所说的人,然后继续在他们的系统中创建用户记录.我的申请不能这样做.
关于安全性,我计划引入过滤器,通过提供标识符和秘密以及IP验证来验证来自客户端应用程序的请求.
我意识到这可能有点开放,但我很感激任何建议.该项目的范围是Web服务是唯一可以访问数据库的东西.MVC客户端应用程序将托管在不同的服务器上,并且该服务仅接受来自所述客户端应用程序的请求.