Ich habe eine Angular 2-Anwendung, die mit der Web-API kommuniziert und einige grundlegende CRUD-Operationen durchführt. Ich habe wenige Fragen:
Ich habe mir die Beispiele von IdentityServer4, OAuth2 und OpenID angesehen, es ist ein bisschen zu komplex, um es zu verstehen. Ich ging jeden einzelnen Schritt schnell durch, es funktioniert, aber ich verstehe nicht, wie und was es tut.
Kann mir jemand Ressourcen geben, von denen ich anfangen kann? Blogs, Websites, Bücher, Schritt-für-Schritt-Anleitungen.
Sie haben Recht, dass zu diesem Zeitpunkt die umfassendsten Lösungen für die Authentifizierung und Autorisierung in Systemen, die stark auf HTTP angewiesen sind, auf OAuth 2.0 und OpenID Connect basieren. Dies schließt natürlich Ihr spezifisches Szenario ein, dass ein SPA ein Web-API-Backend aufruft. Weitere Informationen zu diesem generischen Fall finden Sie im API-Architektur-Szenario Auth0 SPA + oder unter a Schauen Sie sich die Schnellstarts an, die sich auf Ihre ausgewählten Technologien konzentrieren:
Hinweis : Auth0 unterstützt OAuth 2.0 / OpenID Connect. Obwohl die Dokumente möglicherweise zusätzliche Funktionen enthalten, die für den jeweiligen Anbieter spezifisch sind, sind sie möglicherweise hilfreich, wenn Sie sich tatsächlich für OAuth 2.0 / OpenID Connect-Route. Es ist einer der Vorteile, wenn man sich auf Standards verlässt, es ist einfacher, zwischen Implementierung / Providern zu wechseln.
Sie sollten jedoch auch überlegen, ob Sie wirklich OAuth 2.0 / OpenID Connect vollständig verwenden müssen, da sie viele verschiedene Anwendungsfälle lösen und daher auch erhebliche Komplexität mit sich bringen. Wenn Sie diesen Weg gehen, empfiehlt es sich, vorhandene Bibliotheken wie IdentityServer oder Cloud-Provider wie Auth0 zu nutzen, da das Ausführen einer eigenen Implementierung ein hohes Risiko birgt und einen erheblichen Aufwand erfordert.
Um Ihre Anforderung zu erfüllen, ein integriertes Login in Ihrem eigenen Angular2-Frontend bereitzustellen, können Sie wahrscheinlich die von OAuth2 angegebene Ressourcenberechtigungsnachweise für Ressourceneigner einsehen.
Eine andere Alternative ist Ihre eigene benutzerdefinierte Lösung, das ist im Allgemeinen verpönt, weil es leicht ist, falsch zu verstehen, aber die Theorie wäre:
Das Token könnte einfach ein zufälliger (nicht ratenbarer) Wert sein, der als Referenz auf einen serverseitigen Speicher verwendet wird, der Informationen über den zugeordneten Benutzer enthält.
Tags und Links authentication angular asp.net-core-webapi oauth-2.0 asp.net-core-1.0