(2019)
我目前正在开发一个Web应用程序和一个宁静的Web API,它将成为面向资源的RESTful Web服务。我到了无法确定授权方式进行身份验证的方式以及要使用哪些工具/技术的地步。
对于要达到的目标,我给出了一个简单的逻辑,但是我不确定这是否是正确的方法,希望你们能帮助我弄清楚。 该Web应用程序和Web API是使用asp.net core 2.2构建的,数据库是NoSQL(MongoDB)
我的数据库中有很多资源,我想让一些第三方通过Web API(服务器到服务器)从数据库中检索数据。添加,删除,更新操作...仅由Web应用程序根据用户(管理员)的角色来完成。 Web应用程序通过Web API识别用户,然后该用户可以访问基于角色的几种方法。在此过程中,Web API首先需要对Web应用程序进行身份验证,然后给出Web应用程序对用户进行身份验证所需的内容。因此,用户没有直接访问Web API的权限。另一方面,如果第三方服务需要访问任何数据,则Web API应该在授予对任何数据的任何访问权限之前进行身份验证。同时,我需要一些有关第三方服务的信息,这些信息将被保存到数据库中,例如:每个呼叫最多可以传输数据。
我尝试了JWT,并在使用邮递员进行调试时(基本功能)工作(询问令牌然后做一些事情),但是我仍然不确定它是否是正确的工具。来自Azure活动目录和OAuth提供程序的B2C ...
谢谢