我希望使用我的API网站进行用户身份验证和授权,并尽可能保持我的UI站点纯静态内容(html,js,css)。 我已经配置了ServiceStack的OAuth和OpenId(以及凭据/基本)提供程序,所以它们会响应api.mysite.com/auth/{provider}请求。
我希望能够让www.mysite.com的用户通过ajax进行身份验证,然后调用API站点。 BootstrapApi示例项目-虽然非常有用-演示了API和网站在同一域上运行。
这对于静态Javascript客户端来说是否安全可行?
我能否在子域之间共享cookie?
我能否将访问令牌返回给客户端,并在每个请求之前使用它来计算授权标头?
我希望能够让www.mysite.com的用户通过ajax进行身份验证,然后调用API站点。 BootstrapApi示例项目-虽然非常有用-演示了API和网站在同一域上运行。
这对于静态Javascript客户端来说是否安全可行?
我能否在子域之间共享cookie?
我能否将访问令牌返回给客户端,并在每个请求之前使用它来计算授权标头?