我更倾向于确认我是在做对还是错。这是场景:
我正在AngularJS个应用中托管ASP.NET MVC个应用。使用MVC部分我与IdentityServer进行通信以登录,一旦我这样做,我从access_token的{{1}}验证通知中获取OWIN并创建{{1}使用它的值,然后我将OpenIdConnect与Cookie对象一起用于我的请求。
不可否认,安全是迄今为止我最薄弱的环节,所以我的问题是上述情况是否安全,或者我是否违反某种安全规则,允许某人在安检中找到漏洞?
答案 0 :(得分:0)
您的问题很难回答,因为我们无法确认您将来会做些什么。一般来说,你是在正确的道路上,但安全性很难,所以你应该知道何时让其他人这样做。
IdentityServer v3是一个很好的开始。
从这里查看示例,特别是JavaScriptImplicitClient: https://github.com/thinktecture/Thinktecture.IdentityServer.v3.Samples/tree/26293649324783cd5c6bbfe0dbb9e83c6df826fc/source/Clients
这里有一篇关于Angular和WebAPI的好文章: http://www.codeproject.com/Articles/784106/AngularJS-Token-Authentication-using-ASP-NET-Web-A
玩得开心!