【发布时间】:2015-09-28 02:26:29
【问题描述】:
我的项目有 2 个独立的 ASP.NET MVC 5 应用程序。一个使用另一个作为服务。基本上,其中一个应用程序是 Profile Service,它拥有用户的所有个人资料信息,以便将来其他应用程序可以使用该服务,而用户不必设置多个帐户。这些应用程序是组织内部的。对于身份验证和授权,我们使用 Windows 身份验证和智能卡。 Profile Service 应用程序使用 Web API 2.0。我还没有设置 OAuth 2.0。
问题:就目前而言,任何知道如何向配置文件服务发送请求的人都可以这样做(例如输入带有查询字符串的 url)。
我想要实现的目标:我想授权我的另一个应用程序(目前,只有那个......将来,更多)。我不希望请求基于使用应用程序的用户的授权,而是基于应用程序本身。换句话说,如果对配置文件服务的请求来自该应用程序,无论谁登录和使用它,配置文件服务都会将其视为授权请求......如果它来自其他任何地方,则会被拒绝。
我已经做了一些研究。我找不到任何明确说明如何设置的内容。我找到了有关如何使您的应用程序专门为 Google 服务或 Twitter 服务授权的资料……告诉我如何设置客户端应用程序,而不是服务器应用程序(但即使是客户端设置,我也不确定是否正确满足我的特定需求,因为它是一个内部应用程序,因为我不知道 Google 服务是如何工作的,等等)。似乎 OAuth 2.0 和令牌是要走的路,但我该如何实现呢?我需要非常具体的、逐步的答案(希望有一些代码)。
提前非常感谢您。我会经常回来检查。如果您需要更多信息,请告诉我。
编辑: 哦!我忘了提!我们使用的是 HTTPS,而不是 HTTP……这有什么关系吗?
【问题讨论】:
标签: c# asp.net-mvc oauth-2.0 asp.net-web-api2 restful-authentication