我正在使用基于声明的身份验证(即noob alert)编写我的第一个ASP.NET系统。我通过单独的身份验证和资源服务直接进入深层。因此,我的应用首先需要对API" A"以及API" B"进行身份验证。我需要建立一个声明集来确定是否允许这样经过身份验证的用户访问给定资源。
不幸的是,我在网上发现的每一个教程都假设认证可以在声明水合的同一个地方完成。就我而言,这根本不起作用;所有API" A"会告诉我用户是他说的是谁;它取决于API" B"现在确定用户拥有的声明。
我的问题是:在API" B" (资源服务器),我如何以及在何处接收身份验证令牌,并确定需要为此身份分配哪些声明?如果索赔在登录后立即补充,并让客户存储索赔?或者,每次调用API端点时,我是否应该制定声明?