Security 如果我没有';无法控制身份验证服务
我需要做一个移动应用程序,它将有一个登录屏幕,登录屏幕将使用我们的客户端提供的身份验证服务,它与用户名和密码将返回一些基本的配置文件信息和一些他们称之为令牌的东西。我不认为这是一个承载令牌,他们开发的服务检查LDAP 然后,我必须开发从某些数据库获取数据的服务,但是我们的服务不会安装在客户的数据中心上,它可能是Azure中的服务结构群集 如何保护这些服务,使它们只能由经过身份验证的用户调用 我发现这篇文章:Security 如果我没有';无法控制身份验证服务,security,azure,authentication,asp.net-core,azure-service-fabric,Security,Azure,Authentication,Asp.net Core,Azure Service Fabric,我需要做一个移动应用程序,它将有一个登录屏幕,登录屏幕将使用我们的客户端提供的身份验证服务,它与用户名和密码将返回一些基本的配置文件信息和一些他们称之为令牌的东西。我不认为这是一个承载令牌,他们开发的服务检查LDAP 然后,我必须开发从某些数据库获取数据的服务,但是我们的服务不会安装在客户的数据中心上,它可能是Azure中的服务结构群集 如何保护这些服务,使它们只能由经过身份验证的用户调用 我发现这篇文章: 但我想这不是一回事,因为身份验证在一个域中。我的服务将位于另一个数据中心。如果我理解您
但我想这不是一回事,因为身份验证在一个域中。我的服务将位于另一个数据中心。如果我理解您的问题,您的用例是:
- 移动服务向身份验证服务发送登录请求并取回一些令牌。(就你而言,这是不透明的,你对它的工作方式没有任何影响。)
- 移动应用程序需要使用该令牌向另一个服务发出经过身份验证的请求,该服务与身份验证服务不在同一网络或基础设施上
- 如果您的新服务可以回调身份验证服务以验证令牌,那么解决方案很简单。只需让您的服务通过HTTPS与身份验证服务对话,并确保令牌有效
- 如果令牌是以您可以独立验证的方式进行签名的(例如,使用非对称密钥或已知对称密钥进行签名的JWT),那么您的新服务可能能够在不与授权服务对话的情况下对其进行验证。在这种情况下,您的新服务将需要确保令牌未过期,并且签名已签出