single sign on con il web api e asp.net mvc 5

Question

Sto cercando di utilizzare SSO con API Web 2.2 per l'utilizzo in diverse applicazioni, tra cui mobili e asp.net mvc 5.

ho avuto l'idea di base di creare un token di autenticazione via web api, ma ho alcune domande:

1- È sicuro memorizzare il token di autenticazione in un cookie insieme al nome utente?

2- È possibile collegare tale autenticazione con il framework di identità in mvc e poter utilizzare i ruoli?

3- Come posso convalidare i ruoli? devo inviare una richiesta all'API per ciascun controller contrassegnato come autorizzato con un determinato ruolo per assicurarsi che sia il ruolo giusto per l'utente?

4- Se eseguo l'accesso dall'app Web e ottengo il token di autenticazione, quindi provo ad accedere dal cellulare, invierà lo stesso token?

Answer 1

Ok quindi risponderò a questa domanda con quello che ho fatto.

L'architettura di base sarà diviso in tre parti principali:

1- server Identity 4 (core asp.net usando).

2- Web api (utilizzando asp.net core).

3- Lato client (utilizzando angolare 2), tuttavia è possibile utilizzare anche qualsiasi framework lato client o nucleo asp.net.

Il server di identità genererà token, che verranno inviati con ogni richiesta all'api web e supporta identità e ruoli di asp.net. In questo modo è possibile estenderlo facilmente per dispositivi mobili e inviare il token ad ogni richiesta.

collegamento al server l'identità 4 documenti: http://docs.identityserver.io/en/release/quickstarts/6_aspnet_identity.html

link per github dove si possono trovare altri esempi: https://github.com/IdentityServer/IdentityServer4

Android che lavorano con i server di identità 4: https://github.com/leo9223/Android-Resource-Owner-Flow-client-for-IdentityServer4

Nota: per ASP .net mvc 5, è possibile utilizzare l'autenticazione dei cookie (che non funzionerà per i dispositivi mobili), ma fornirà SSO per applicazioni separate.