Blazor WebAssembly - 用户帐户和身份服务器的最佳实践

Question

我正在尝试在我的软件中创建一个基本的用户管理模块，我已按照本指南创建模块：

https://docs.microsoft.com/en-us/aspnet/core/blazor/security/webassembly/hosted-with-identity-server?view=aspnetcore-5.0&tabs=visual-studio

我想这是微软推荐的最佳实践。但是，我不明白以下内容：

1. 是否处理了授权服务器端的部分内容？我想确保没有任何部分（或最少部分）是服务器端呈现的，并且授权应该主要发生在 API 调用中，因为我使用的是 Blazor WebAssembly。所以我想知道为什么我们可以指定 .cshtml 文件等，因为我认为这是服务器端呈现的代码。
2. 在指南中，他们多次引用 IdentityServer（似乎是第三方软件组件）。我正在构建的应用程序是一个商业应用程序。我是否必须为 IdentityServer 购买许可证？如果是，是否有微软推荐的免费方式来做同样的事情？
3. IdentityServer 和 IdentityServer4 有什么区别？
4. 我最终想要做的是一个 Microsoft 最佳实践模块，它允许管理员创建和处理具有不同角色以及访问 Blazor WebAssembly 项目不同部分的用户。也许还有其他一些直接的方法可以做到这一点？目前的最佳做法是什么？

Answer 1

1. 身份验证和授权应始终由 后端，因为前端总是可以被操纵或模拟的。 如果您遵循这些说明，授权将完全 由服务器端处理。登录和注销功能将 将您重定向到服务器上运行的剃刀页面。当用户在 通过身份验证，将创建 JWT 并将其发送到您的 Blazor 应用程序。 然后可以使用此令牌来发送身份验证信息 与后续的 HTTP 请求。得到这个有点棘手 接近并运行，但效果很好。

2. 这些示例中使用的身份服务器是 ASP.NET 的一部分。

3. IdentityServer 和 IdentityServer4 指的是 IdentityServer 包含在 ASP.NET 中。

4. 您还可以使用基于 Cookie 的身份验证并创建一个 Web API 来处理 登录/注销并提供用户信息。易于设置和提供 用于身份验证的 Blazor UI。确保有一个 使用此方法时加密连接，因为您需要 通过 HTTP 请求发送登录信息。

   无论如何，我个人会坚持微软的建议并使用 JWT。