我发布此信息是为了收到一些反馈意见/建议和有关我过去几天一直在努力的事情的信息。首先,我将对项目进行快速细分。
解决方案中有2个应用程序:
WebAPI资源&授权服务器 - 使用OWIN(在IIS中托管)和ASP.NET Identity在正确的登录上发出身份验证令牌,然后允许对各种控制器的请求。
MVC客户端应用程序 - 目前还没有授权(直到我搞清楚),但会调用WebAPI资源服务器来获取所有数据。这些调用只能来自客户端应用程序中控制器的操作,而不是客户端AJAX调用。
客户端应用程序没有自己的数据源。所有信息都存储在WebAPI服务可以访问的数据库中,因此基本上如果它们提供了正确的凭据,并且客户端应用程序收到了承载令牌,我需要为应用程序提供一种方式将其视为已授权。
我最初担心的是我是否滥用了承载代币并试图将它们拼凑成一个不理想的解决方案。到目前为止,我发现的所有外部授权示例通常都涉及拨打由Google / Facebook / Twitter托管的提供商来检查用户是否是他们所说的人,然后继续在他们的系统中创建用户记录。我的申请无法做到这一点。
关于安全性,我计划引入过滤器,通过提供标识符和密码以及IP验证来验证请求来自客户端应用程序。
我意识到这可能有点开放,但我很欣赏任何建议。该项目的范围是Web服务是唯一事物,可以访问数据库。 MVC客户端应用程序将托管在不同的服务器上,该服务仅接受来自所述客户端应用程序的请求。
答案 0 :(得分:5)
您无需访问MVC应用中的数据源即可验证持有者令牌。基本上,您可以通过以下方式完成此操作,
MVC应用程序从webapi请求access_token并将其传递给UI客户端(假设是一个浏览器)。
浏览器将access_token存储在cookie / localstorage中,并将它们发送到MVC应用程序以获取所有后续请求。
在MVC应用程序中创建ActionFilter以验证来自浏览器的请求是否具有标头中提供的令牌。如果没有,请拒绝该请求。
MVC应用将access_token标题中的Authorization传递给webapi。
对所有通信使用HTTPS(在MVC应用< - >客户端和MVC应用< - > WebAPI之间)
您可以进一步模糊或加密从MVC应用程序端的WebAPI获得的access_token以获得额外的安全性,但是您必须将解密的版本发送回WebAPI。
答案 1 :(得分:3)
我意识到我的答案有点晚了,但也许对其他人有帮助:
您从API获得的承载令牌具有加密的声明列表,只有API才能解密。我假设您需要在MVC应用程序上拥有这些声明,以便您可以限制客户端上的资源。
所以,我所做的就是先获得令牌。获得它之后,您再向API资源api / me / claim发出请求,以获取客户端上的可读声明列表。根据此列表,您可以使用基于自定义声明的“授权”属性访问MVC CLient应用程序中的资源。此外,您可以将声明存储在客户端会话中的cookie中。以下是获取声明的API控制器的代码。
[RoutePrefix("api/me/claims")]
public class ClaimsController : BaseApiController
{
[Authorize]
[Route("")]
public IHttpActionResult GetClaims()
{
var identity = User.Identity as ClaimsIdentity;
var claims = from c in identity.Claims
select new
{
subject = c.Subject.Name,
type = c.Type,
value = c.Value
};
return Ok(claims);
}
}
我们的想法是在客户端重建已记录用户的ClaimsIdentity对象,并将其添加到会话中。
令牌是不够的。您可能会冒险从您在MVC客户端应用程序中为用户显示的资源上获取API的Not Authorized响应。有人说,建议对所有请求使用HTTPS。