同じWEB APIのWindowsとトークン認証

Question

このシナリオはあります。

私はイントラネットアプリケーションに機能を提供する1つのWEB APIを持っていますが、このアプリケーションは外部には見えないので、ログインページはありません。

ただし、ウェブAPIは組織外のモバイルアプリでも消費されるため、ウェブAPIは公開URLで公開されます。

両方のシナリオをサポートするためにここで認証/認可を行うにはどうすればよいですか？ 1.内部ユーザーは、明示的なログインページなしで、角度のあるバックエンドアプリケーションを介してWeb APIを使用することができます。 2.モバイルアプリケーション経由の外部ユーザーは、アクティブディレクトリアカウントを使用してWeb APIを消費します。

私はこれが見つかりました：私は簡単にActive Directoryに移動し、ユーザーはそのユーザー名とパスワードで存在しているかどうかをチェックするためにGetIdentityメソッドを置き換えることができますが、イントラネット上で、私はその情報を持っている習慣 https://stormpath.com/blog/token-authentication-asp-net-core

を。

アイデアしてください。

Answer 1

このようなシナリオを処理する最善の方法はHMAC Authenticationをdiscussed hereとすることです。これにより、モバイルクライアントから何らかのログインを要求することなく、ピーブルのエンドポイントに簡単にアクセスできるようになります。同時に、どのモバイルがエンドポイントを認識しているかを知ることができます。これは私が唯一の必要があるだろう、良いオプションのように聞こえるあなたがapikeyとapisecret

YOU CAN FIND THE SOURCE CODE OF THE EXAMPLE USING ASP.NET HERE