我正在构建两个单独的 ASP.Net WebApi应用程序,它们将在同一个域(不是子域)和一个处理身份验证的STS下运行,并且将成为用户帐户存储。
客户端将breeze.js / angular.js连接到该API。所以我认为JWT(JSON Web Token)将是我选择令牌的选择,因为我不想使用表格身份验证。
如何通过域名实现STS与应用之间的信任?我发现了一些WS-Federation信任样本,但我认为这对我需要构建的东西来说太过分了。
答案 0 :(得分:2)
不确定“域名”是什么意思。
典型的流程是:
JWT由授权服务器签名 - API验证签名。
因此,API和授权服务器之间的信任是通过能够验证令牌(使用签名,颁发者名称和受众名称)来建立的。
另见: https://github.com/thinktecture/Thinktecture.AuthorizationServer/wiki