Web 应用程序、Web API 和移动应用程序之间的身份验证
Authentication between Web App, Web API & Mobile App
我需要这三个应用程序(网络、api、移动)之间的身份验证建议。
用例
- 我有 .Net Core Web API 可用于基本身份验证(即
header 中的用户名和密码)。
- 我需要在我的 .Net Core Web 应用程序和 Xamarin 移动应用程序中使用 API。
- 我想在所有三个应用程序之间集成安全模型。
问题陈述
- 我不知道相同的身份验证如何适用于 Web 应用程序和 API。
- 我不想使用任何 third-party 身份验证提供程序。我会
喜欢只让我的用户在数据库中。
- 保护我的 API 的最佳方法是什么?
- 一旦我保护了我的 Web API,如何在 Web 应用程序上进行身份验证 &
移动应用程序?
我知道这是一个广泛的问题但最简单的answer/way将帮助我决定进一步的路径。我对 AD、OAuth、Open Connect、JWT 等身份验证有足够的了解,但老实说,我不确定如何在我的场景中使用它。
谢谢。
一种简单的方法是让您的 API 使用 JWT 并连接到包含您的用户信息的数据库。您将有一个接收用户名和密码以及 returns 令牌的路由。对于所有经过身份验证的路由,请求都需要 header 上的此令牌。对于客户端(Web App 和 Xamarin),您会将收到的令牌存储为 cookie,并在每次 API 调用时一起发送。
我需要这三个应用程序(网络、api、移动)之间的身份验证建议。
用例
- 我有 .Net Core Web API 可用于基本身份验证(即 header 中的用户名和密码)。
- 我需要在我的 .Net Core Web 应用程序和 Xamarin 移动应用程序中使用 API。
- 我想在所有三个应用程序之间集成安全模型。
问题陈述
- 我不知道相同的身份验证如何适用于 Web 应用程序和 API。
- 我不想使用任何 third-party 身份验证提供程序。我会 喜欢只让我的用户在数据库中。
- 保护我的 API 的最佳方法是什么?
- 一旦我保护了我的 Web API,如何在 Web 应用程序上进行身份验证 & 移动应用程序?
我知道这是一个广泛的问题但最简单的answer/way将帮助我决定进一步的路径。我对 AD、OAuth、Open Connect、JWT 等身份验证有足够的了解,但老实说,我不确定如何在我的场景中使用它。
谢谢。
一种简单的方法是让您的 API 使用 JWT 并连接到包含您的用户信息的数据库。您将有一个接收用户名和密码以及 returns 令牌的路由。对于所有经过身份验证的路由,请求都需要 header 上的此令牌。对于客户端(Web App 和 Xamarin),您会将收到的令牌存储为 cookie,并在每次 API 调用时一起发送。