我上周正在研究这个话题,不幸的是我无法弄明白。我理解身份验证和授权之间的区别。
我将很感激有关该主题的任何指导。
我需要的一般情况是对几个使用api驱动的网站实施单点登录,这也应该处理身份验证。用户应该能够使用用户名/通行证或通过任何第三方服务(如facebook,google +,twitter等)注册/登录。
在上面的场景中,更好的方法是什么?我应该只使用身份服务器,还是只使用授权服务器或两者兼而有之?
提前谢谢。
答案 0 :(得分:17)
从IdentityServer开始 - 这是您的身份管理系统。
AuthorizationServer是一个全功能的OAuth2实现,可以将IdentityServer用作用户存储。
http://leastprivilege.com/2013/06/16/relationship-between-identityserver-and-authorizationserver/
答案 1 :(得分:2)
您的方案更像是确认用户身份的身份验证。另一方面,授权是指一个人或一个角色是否可以执行某些操作。
答案 2 :(得分:2)
启动Identity Server 3时,它不推荐使用AS:The Future of AuthorizationServer,因为现在所有AS都包含在IS中。