Asp.net 使用Azure进行JWT身份验证/授权的Stormpath
我们正在研究移动报告应用程序的身份验证/授权,该应用程序使用在MS Azure云中运行的内部提供的RESTful web api服务,通过有线方式使用每小时/每周/每月的商业敏感数据。 Stormpath的产品看起来很有意思,因为它似乎为整个身份管理方面提供了一些重要功能,包括注册用户、验证用户和生成JWT令牌等。 否则,我们将不得不编写自己的auth/user db表,并因此产生一些管理开销 我不完全清楚的是,Azure提供的当前不安全、未经验证的原型API需要与Stormpath相交在哪里。 有人,特别是那些熟悉Stormath的人能详细说明一下吗 我知道所有的用户注册、密码恢复用例都将通过Stormpath进行,我猜为用户创建JWT令牌将需要我们现有的服务与Stormpath对话。我们的Azure服务是否会在本地(通过一些代码插件)验证RESTful调用的HTTP(S)头中的令牌?如果是,验证是在本地完成的,还是每个RESTful调用都会产生代理调用Stormpath API以验证令牌的优点的副作用 我想我对Web API管道中整个令牌验证步骤的性能问题很敏感 我在其他地方读到,微软自己也有一个产品,即Azure AD B2C,它似乎还没有为美国/北美以外的地区做好生产准备。 这是不是我们应该考虑的另一个选择,比如SurrMePATH? Stormpath之类的东西有一个吸引人的地方,那就是双因素身份验证的可能性。Asp.net 使用Azure进行JWT身份验证/授权的Stormpath,asp.net,.net,azure,jwt,stormpath,Asp.net,.net,Azure,Jwt,Stormpath,我们正在研究移动报告应用程序的身份验证/授权,该应用程序使用在MS Azure云中运行的内部提供的RESTful web api服务,通过有线方式使用每小时/每周/每月的商业敏感数据。 Stormpath的产品看起来很有意思,因为它似乎为整个身份管理方面提供了一些重要功能,包括注册用户、验证用户和生成JWT令牌等。 否则,我们将不得不编写自己的auth/user db表,并因此产生一些管理开销 我不完全清楚的是,Azure提供的当前不安全、未经验证的原型API需要与Stormpath相交在哪里。
在没有进行过太多分析的情况下,一个典型的用例场景是,注册或密码恢复将强制要求向用户预注册的智能手机号码发送短信,以提供对他们(及其预注册设备)的更强有力的验证是使用RESTful服务消费和可视化商业敏感数据的移动应用程序的预期用户。我在.NET库的Stormpath工作 我不完全清楚的是,Azure提供的当前不安全、未经验证的原型API需要与Stormpath相交在哪里 Stormpath充当API的访问令牌源。当有人使用您的移动应用程序需要登录时,您的后端API使用Stormpath生成访问令牌,或者移动应用程序直接与Stormpath对话以获取访问令牌。无论哪种方式,令牌都允许移动应用程序向您的API发出经过验证的请求 我们的Azure服务是否会在本地(通过一些代码插件)验证RESTful调用的HTTP(S)头中的令牌?如果是,验证是在本地完成的,还是每个RESTful调用都会产生代理调用Stormpath API以验证令牌的优点的副作用 访问令牌(JWT)完整性可以使用ASP.NET中的
UseJWTBeareAuthentication