我们当前的系统是纯ASP.net Web应用程序。我们有自己的登录页面,用户将输入用户名和密码进行身份验证和授权。系统将从我们的用户表中验证这一点,如果匹配,它将为用户创建一个安全会话对象,该对象将在每个页面上进行验证。我们有自己的user_profile表来授权每个模块/功能。
我们正在使用带有AJAX的Web Api重新设计我们的系统并支持Mobile。成功登录后,应使用IdentityServer或Authorization Server为用户创建新令牌,这样他就可以为每个webapi调用使用该令牌。
对于我们的安全系统,我们没有这方面的经验。经过一些谷歌搜索了解OAuth。 还发现有很多人将Thinktecture称为安全实现。基于Thinktecture的一些谷歌搜索,我的理解是 IdentityServer - 将用于身份验证 AuthorizationServer - 将根据用户的访问权限颁发令牌。此AuthorizationServer有自己的页面来创建用户,角色和DB来存储这些详细信息。
在我们的案例中,因为我们为模块提供了自己的用户表和用户配置文件映射,我们认为我们不需要这些管理模块来从授权服务器创建用户/角色和数据库。
有人可以指导我们这些服务器在哪里符合我们的要求吗?您对我们的情景有哪些建议?
道歉,如果早些时候已经提出这些问题并且已经得到答复。
答案 0 :(得分:1)
现在IdentityServer处于转型期。 IdentityServer v2更适用于身份验证(并且具有一些OAuth2支持,主要用于身份验证)。授权服务器在OAuth2上更多地被授权用于委派授权。许多人过去一直对他们想要/需要哪一个感到困惑,因此对于IdentityServer v3我们将两者结合起来,但是现在(2014年6月)我们仍在预览IdentityServer v3。我们计划在夏季结束时使用IdentityServer v3测试版,并在秋季发布。