Security 消费者使用声明身份验证时如何保护API 背景
我正在构建一个.NETMVC企业web应用程序,它必须能够对来自不同公司的用户进行身份验证。其中一个主要要求是确保用户不需要创建和记住新的凭据来使用应用程序,而应该继续使用他们用来访问公司内部网中的应用程序的任何凭据 由于应用程序将托管在外联网上,并且需要处理针对多个域(即多个活动目录)的身份验证,因此我们希望每个客户端设置一个安全令牌服务(AD FS),应用程序可以与之交互以实现声明身份验证 MVC应用程序将检查用户是否已通过身份验证,如果未通过身份验证,则启动工作流,以MVC应用程序获得与用户关联的SAML声明结束 问题 此时,用户经过身份验证,并被授予访问MVC应用程序的权限。然而,应用程序本身是一个现代web应用程序,它使用大量JavaScript来使用处理大部分业务逻辑的.NETWebAPI我的主要问题是如何保护此API。我希望确保发送到此服务器的唯一请求是从有效源发送的,并且使用该服务的用户具有这样做的权限 当前解决方案 我可以采用两种方法来使用API:Security 消费者使用声明身份验证时如何保护API 背景,security,authentication,oauth,adfs,api-design,Security,Authentication,Oauth,Adfs,Api Design,我正在构建一个.NETMVC企业web应用程序,它必须能够对来自不同公司的用户进行身份验证。其中一个主要要求是确保用户不需要创建和记住新的凭据来使用应用程序,而应该继续使用他们用来访问公司内部网中的应用程序的任何凭据 由于应用程序将托管在外联网上,并且需要处理针对多个域(即多个活动目录)的身份验证,因此我们希望每个客户端设置一个安全令牌服务(AD FS),应用程序可以与之交互以实现声明身份验证 MVC应用程序将检查用户是否已通过身份验证,如果未通过身份验证,则启动工作流,以MVC应用程序获得与用
- 授权码
- 含蓄的
- 资源所有者凭据
- 客户端凭据