我最近几周在研究这个主题,但遗憾的是我无法弄清楚。我理解身份验证和授权之间的区别。
非常感谢您对该话题的任何指导。
总体上,我需要为多个由 API 驱动的网站实现单点登录,这些网站也应处理身份验证。用户应能够使用用户名/密码或通过 Facebook、Google+、Twitter 等第三方服务进行注册/登录。
在上述情况下,哪种方法更好?我应该只使用身份验证服务器、只使用授权服务器,还是两者都使用?
提前感谢您的帮助。
3个回答
18
从身份验证服务器(IdentityServer)开始 - 这是您的身份管理系统。
此外,授权服务器(AuthorizationServer)是一个完整的OAuth2实现,可以使用IdentityServer作为用户存储。
http://leastprivilege.com/2013/06/16/relationship-between-identityserver-and-authorizationserver/
- leastprivilege
5
1给定客户端、AS、IS、API(WebApiController/MVC5)。后三者存在不同的服务器上。当客户端经过身份验证和授权后,将发送一个令牌到 API。API 是否会再次检查令牌信息,或者该令牌是否有效针对 AS 或 IS 或两者都是? - mynkow
1AS使用签名的自包含JWT令牌 - 您可以在API中验证有效性,而无需再次联系发行者。 - leastprivilege
感谢您的回复。我是新手,仍然感到困惑。客户端是否可以构建JWT令牌,这些令牌可以通过API的验证,但在IS上失败?Thinktecture存储库中是否有任何示例,显示API如何验证令牌? - mynkow
1在AS存储库中,有一个样本文件夹。flows示例展示了Web API和Nancy的令牌验证。 - leastprivilege
当Identity Server 3发布时,它弃用了AS:授权服务器的未来,因为现在所有AS功能都包含在IS中。这是真的吗? - Chazt3n
2
当Identity Server 3推出时,它已经弃用了AS:AuthorizationServer的未来,因为现在所有的AS功能都包含在IS中。
- JotaBe
1
@leastprivilege 这是真的吗? - Chazt3n
2
您的情境更类似于身份验证,即确认用户的身份。另一方面,授权是指一个人或角色是否可以执行某些操作。
- AD.Net
2
1问题说明他们已经理解了身份验证和授权之间的区别。问题是关于Thinktecture IdentityServer和Thinktecture AuthorizationServer之间的区别。 - Oran Dennison
IS3是否具有与AS相同的GUI管理?有没有使用Gui和数据库来管理WebAPI而不是在内存范围和客户端中的示例? - Nate
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 7 Thinktecture IdentityServer V3
- 14 在现实场景中实现身份验证服务器认证
- 3 MVC和身份验证服务器内的AJAX调用
- 3 从Thinktecture授权服务器无法获取令牌。
- 3 如何验证由Thinktecture身份认证服务器颁发的JWT令牌?
- 6 Thinktecture认证下的AngularJs ASP.NET WebApi身份验证
- 12 有没有知名的thinktecture身份验证服务器替代品?
- 5 从 Web API 2 基于声明的身份验证 到 ThinkTecture 的迁移
- 20 Thinktecture IdentityServer v3指南 - 证书
- 4 配置ASP.Net Core使用OIDC进行对Thinktecture V2的身份验证