我一直在看DotNetOpenAuth样本和阅读主题,但我仍然有点朦胧,以确保我的特定环境的实际要求。我看过的许多样本也会抛出异常,使得代码有点受到影响。
我有一个使用WebSecurity和OAuthWebSecurity类的MVC Web应用程序,这为应用程序提供了使用本地帐户或OpenID提供程序帐户的登录。该系统还在单独的网站和解决方案中具有WebAPI。
系统有两个数据库,一个用于安全性,另一个用于数据。 MVC Web应用程序仅具有到安全性数据库的直接链接,而Api具有到安全性数据库和数据数据库的连接。所有与数据数据库的交互都将通过WebApi进行。
我的目标是保护Api。
我不确定与OAuth相关的术语来描述Api。它是资源服务器授权/身份验证服务器合二为一吗?它似乎有时也会成为依赖方。
Api也将代表用户被第三方应用程序使用,因此我还需要API密钥来进行应用程序身份验证。用户和应用程序将完全由Api登录。
对于需要做什么的任何澄清都会非常感激。