我們目前有一個節點web服務器,它可以對oauth2用戶進行身份驗證,包括google和facebook。我們希望它能處理網頁的服務,而無狀態的.NET web api處理實際數據的服務(所有數據都是異步請求的)。我的問題是如何處理web api的身份驗證?編寫一個無狀態的.net web api來與一個節點web服務器一起工作
我的意思是應該客戶端甚至對api進行身份驗證(如果是的話,我們如何通過身份驗證進行身份驗證,以便一旦通過身份驗證與Web服務器進行身份驗證)或者Web服務器驗證用戶,然後只需將所有api請求與用戶標識一起轉發給api?這是什麼標準方案?
在此先感謝。
這個答案很晚了,但我會發表我的想法。我會在您的節點應用程序中放置一個虛擬api,只是簡單地傳遞數據api(.net之一)中的所有內容。然後,我會鎖定數據API,以便只有您的節點服務器可以與它交談。簡短的回答是,任何你暴露給互聯網的API都必須被鎖定。如果你這樣做,你不必將數據API暴露給互聯網。您可以獲得無需處理CORS的額外好處 - 您可以將一個簡單的/ api文件夾掛在您的域名之外。如果您的解決方案不斷增長,您還可以使用此傳遞API將呼叫聚合到多個業務API。這是一個非常可擴展的架構。
如果你不想這樣做,那麼你需要將數據API放在與其他站點相同的域上,或者設置CORS,以便從一個域中調用javascript/AJAX。一旦你的數據api可以看到其他網站寫的cookie,你就需要在你的.net api中驗證它們,可能是非常手動的,因爲.net沒有寫入auth cookie - 節點。