我的任务是为我们的移动应用程序和未来的第三方创建Web API,以便访问我们的数据等。
仅此一点很简单,但我需要保护它。最初,在阅读了关于OAuth并进行一些研究之后,我决定采用基于本土的令牌路线,利用在线发现的最佳实践来确保安全。我的原型运行得非常好,但不幸的是,该公司希望使用OAuth,因为它是一个可识别的标准,并且被认为适合我们的客户。
Soooo,在过去几天敲打多个墙壁之后,我很好奇是否有人使用OAuth作为服务提供商,然后使用ASP.NET Web API客户端作为消费者。
设想的工作流程是移动应用程序将访问API,而API又会期望从我们的自托管OAuth服务提供商发出令牌。我还没有在网上找到任何关于此的综合文档或示例。到目前为止,我所看到的一切都是非常零碎的,因此试图实施任何事情都令人难以置信。
答案 0 :(得分:1)
嗯 - 当然有OAuth规范(因为你似乎喜欢手工制作东西;))http://tools.ietf.org/html/rfc6749和相应的威胁模型 - http://tools.ietf.org/html/draft-ietf-oauth-v2-threatmodel-08
我们的OAuth2 authZ服务器/ sec库也有一个实现 - 我在这里编译了一些文档:https://github.com/thinktecture/Thinktecture.IdentityServer.v2/wiki