Identity Server +资源​​所有者凭据+身份验证者

时间:2017-03-31 05:29:54

标签: reactjs asp.net-web-api2 identityserver4

我正致力于设置新的SSO应用程序。我想使用ASP.NET Identity作为数据库来存储用户数据。我有一个在Node.JS上托管的ReactJs应用程序和一个.Net Web Api2应用程序。我想使用Identity Server与其数据库中的用户一起保护Web Api 2。在进一步的开发中,我将创建一个移动应用程序。 我能够与一些用户一起创建一个asp.net身份数据库,并使用资源所有者凭据,但如果有人可以提供帮助,我会提出几个问题:

  1. 为什么不建议使用资源所有者凭据?我目前的工作流程是使用客户端和用户密码来访问api并获取我存储在Web层中并在Web Api请求中使用的令牌。 Web Api验证令牌并识别用户。我在IS页面上看到了不推荐用户认证的推荐方案是什么?
  2. 如何为移动设备创建身份验证器?我是否应该创建自己的证书问题,将其作为指纹存储在数据库中并使用访问令牌?

    3. 由于

1 个答案:

答案 0 :(得分:1)

1)简而言之,资源所有者需要通过应用程序本身传递凭据,RO也不会为您提供SSO。这里的answer更长。建议的方案是在启用PKCE的情况下使用混合流。

2)查找TOTP。我相信它是在AspNetCore.Identity中通过一些例子实现的。

相关问题
最新问题