同じAsp.netアプリケーション内のIdentityserver4とApiリソース

Question

私が同じAsp.netアプリケーション内で自分のIdentityserver4とApiをホストしている場合。 APIコントローラの認証には何が使用されますか？ Identity ServerのCookie、またはSPAアプリケーションのoidc-clientから取得したトークン？

I私のテスト私は...限り、私はクッキーを持っているように、角度のhttp reqeuest内

をトークンを送信しませんでした。しかし、これが正しいと道を保存する場合にも、APIにアクセスすることができますか？ ?? IdentityServerのMVCコントローラは、ValidateAntiforgeryKeyで保護されていますが、APIコントローラでは保護されていません。

両方を同じアプリケーションでホストするのは意味がありますか？

編集： 詳しくは、APIを使用してIdentityServerを管理してください。例えば CRUDクライアントの操作、ユーザー、リソース、...

： IdentityServerはhttp://localhost:5000 で到達可能である私はhttp://localhost:5000/admin

でValidateAntiforgeryKeyに言及した理由可能ですAngular2 SPA管理UIを構築したいですCRUD APIのCookie認証のみを使用すると、これらのAPIをValidateAntiforgerKeyで保護する必要がありますか？

Answer 1

あなたのAPIのように聞こえますが、Identity Serverは2つの別々の懸念事項であり、2つの別々のアプリケーションとして処理する必要があります。これにより、保守が非常に簡単になります。

ApiResourceおよびClientを設定して、ApiResourceをAllowedScopeとしてIdentity Server構成に追加する必要があります。

APIアプリケーションでは、認証ミドルウェアUseIdentityServerAuthenticationを追加する必要があります。

詳細はここで説明されています http://docs.identityserver.io/en/release/topics/apis.html

私はあなたがValidateAntiforgeryKeyに言及している見ることができます。この属性は、権限のないユーザーからの保護のために使用されるのではなく、フォームデータが正当なフォームから投稿されていることを確認するために使用されます。