我最近几周在研究这个主题,但遗憾的是我无法弄清楚。我理解身份验证和授权之间的区别。
非常感谢您对该话题的任何指导。
总体上,我需要为多个由 API 驱动的网站实现单点登录,这些网站也应处理身份验证。用户应能够使用用户名/密码或通过 Facebook、Google+、Twitter 等第三方服务进行注册/登录。
在上述情况下,哪种方法更好?我应该只使用身份验证服务器、只使用授权服务器,还是两者都使用?
提前感谢您的帮助。
我最近几周在研究这个主题,但遗憾的是我无法弄清楚。我理解身份验证和授权之间的区别。
非常感谢您对该话题的任何指导。
总体上,我需要为多个由 API 驱动的网站实现单点登录,这些网站也应处理身份验证。用户应能够使用用户名/密码或通过 Facebook、Google+、Twitter 等第三方服务进行注册/登录。
在上述情况下,哪种方法更好?我应该只使用身份验证服务器、只使用授权服务器,还是两者都使用?
提前感谢您的帮助。
从身份验证服务器(IdentityServer)开始 - 这是您的身份管理系统。
此外,授权服务器(AuthorizationServer)是一个完整的OAuth2实现,可以使用IdentityServer作为用户存储。
http://leastprivilege.com/2013/06/16/relationship-between-identityserver-and-authorizationserver/
当Identity Server 3推出时,它已经弃用了AS:AuthorizationServer的未来,因为现在所有的AS功能都包含在IS中。
您的情境更类似于身份验证,即确认用户的身份。另一方面,授权是指一个人或角色是否可以执行某些操作。