我们计划在公司内部构建OAuth2授权服务器,我们正在努力找出实现它的正确解决方案。目前我们正在考虑使用ThinkTecture IdentityServer3或普通的Microsoft.Owin.Security.OAuth包。我们考虑选择的一个问题是谁已经使用它。遗憾的是,我无法在ThinkTecture网站上找到有关IdentityServer3客户的任何信息,也无法在其他任何地方找到。有没有人知道,如果有任何重要的参与者,谁依赖这个库/框架?
如果任何人对上述两种解决方案中哪一种更好有任何其他指导,那对我们来说也是有价值的。
干杯
答案 0 :(得分:8)
Microsoft已弃用Microsoft.Owin.Security.OAuth库,主要是因为要在除了一个示例之外的任何场景中使用它,您必须在其上构建许多其他安全基础结构。这样做并非易事,需要您在开发OIDC / OAuth2提供程序时非常了解威胁和缓解措施。这种安全工作已在IdentityServer中完成。因此,当您需要为应用程序和API提供自定义的OIDC / OAuth2令牌服务时,Microsoft建议将IdentityServer作为未来的选择。