使用 Owin 示例的 Asp.Net Web Api 安全性

Question

我正在努力实现基于 OWIN 的身份验证和授权。 以下是我计划实施的方式。

1) 一个基于前端的应用程序，具有匿名访问权限，用户可以注册并在我们的数据库中等待批准。管理员用户将审查用户并批准他们提供必要的角色。 2) 如果得到 OWIN 授权服务器的授权，这些用户可以通过传递凭据来获取响应来使用我们的不同 api。 3) 自己的身份验证/授权作为一个单独的服务，因此它可以被多个应用程序用于身份验证/授权和生成令牌。

我的问题是

1) 我的方向是否正确，这种方法会奏效吗？ 2) 是否有在单独的解决方案中构建这些应用程序的示例？

我看到的所有示例都使用默认模板和示例方法。请帮助我提供任何此类可用的样本。

Answer 1

基本上，我认为你是在正确的轨道上。但是在用户注册后我不太了解您的工作流程。当用户注册并且他的数据存储在数据库中时，您应该为他提供登录（身份验证）的能力 - 向他发送带有一些基本声明的令牌（承载/刷新）。同时，如果您需要限制经过身份验证的用户使用您的 API 的能力，那么您可以通过实施角色管理（授权）来实现。

请参阅this guide，了解如何将授权服务器与资源服务器分离。此链接可能看起来有点旧，但提供了工作示例/对工作流程的理解。

对于身份验证，我建议您坚持使用 Json Web 令牌，因为它们提供了一种通过声明传输经过身份验证的用户状态的体面方式。请参阅 this link. 和 this guide。