Authentication 如何验证api';谁能访问我的api?
我正在构建一个api,我们称之为CommonApi,其他api将使用它。在本例中,假设我们有一个应用程序,其前端使用的Authentication 如何验证api';谁能访问我的api?,authentication,asp.net-core,architecture,oauth-2.0,asp.net-web-api2,Authentication,Asp.net Core,Architecture,Oauth 2.0,Asp.net Web Api2,我正在构建一个api,我们称之为CommonApi,其他api将使用它。在本例中,假设我们有一个应用程序,其前端使用的supernewrendyframework是best.js和一个WebApi后端,我们称之为AppApi。我们使用的是我们的IDP提供的MS标识 因此,该应用程序将使用自己的api AppApi调用IDP并对用户进行身份验证,通过声明获得所有角色和权限,以及一个访问令牌,以继续使用AppApi和它作为守门员的所有光荣资源 现在,我有点纠结于如何在用户经过身份验证后访问Commo
supernewrendyframework是best.js是否应该有第二个令牌来访问CommonApi?如果可能的话,我想避免这种情况,但如果这是最好的办法,我会这么做。我不是在寻找特定于技术的解决方案——库、中间件等,而是了解我应该做什么 我认为你只是从错误的角度看问题。正确的观点应该能消除你的困惑 其他API正在访问您的API这一事实无关紧要。一天结束时,您的API服务于客户机,您只需要知道一些客户机正在访问您的API。这可能是另一个API、一个用户、一个控制台应用程序、一个服务,等等。没关系 该客户端需要获得授权才能使用您的应用程序。获得授权的身份验证方法可能因客户端而异,但都达到了相同的目标。例如,类似于另一个API的东西很可能通过客户端身份验证(id/密钥对)进行身份验证。在这里,您正在授权客户机,因此如果该客户机代表某个特定的用户,他们将分别需要作为该用户进行身份验证(通常通过OAuth)。或者,如果另一个API专门为特定用户工作,那么整个过程可以通过OAuth实现(即,客户机本身不进行身份验证,而是该客户机的用户通过客户机提供的OAuth工作流进行身份验证。在任何一种情况下,客户机最终都会得到一个身份验证令牌,然后他们可以发送进一步的请求来授权该请求 重要的部分是身份验证令牌。无论采用何种身份验证方法,都会给出一个身份验证令牌,这就是用于授权请求的内容
根据您在此介绍的场景。最可能的过程是
AppApiCommonApiCommonApiCommonApiAppApiCommonApiAppApiCommonApi