我更找的我是否這樣做對還是錯comfirmation。這是場景:的OpenID身份驗證與AngularJS和MVC,以標記餅乾
我在ASP.NET MVC應用程序中託管AngularJS應用程序。使用MVC部分我IdentityServer溝通登錄,一旦我做到這一點我拿access_token從OWIN的OpenIdConnect確認通知,並創建一個Cookie與它的價值,然後我在AngularJS與$cookieStore對象使用讓我要求。
誠然,安全性是目前爲止我最薄弱的環節,所以我的問題是,上述方案是否安全還是我違反了某種安全規則,將允許有人來查找安全孔?
你的問題是一種很難回答,因爲我們不能確認你要在未來做什麼。一般而言,你走在正確的道路上,但安全性很難,所以你應該知道什麼時候讓別人去做。
IdentityServer v3是一個很好的開始,但。
看看樣品,特別是JavaScriptImplicitClient從這裏: https://github.com/thinktecture/Thinktecture.IdentityServer.v3.Samples/tree/26293649324783cd5c6bbfe0dbb9e83c6df826fc/source/Clients
一個很好的文章角和的WebAPI這裏還有: http://www.codeproject.com/Articles/784106/AngularJS-Token-Authentication-using-ASP-NET-Web-A
玩得開心!
我將使用令牌和消耗的WebAPI SVC。但是我擔心的是將訪問令牌存儲在cookie中對於idsrv3所有的安全措施是否會產生反效果。 – IWriteApps
我不是Angular的專家,但是因爲cookie應該是httponly(JS不可讀),所以我會使用SessionStorage客戶端。這就是我所做的(或者更確切地說是我的前端開發人員)在之前的工作中所做的。這也是Thinktecture樣本中使用的。 –