シングルサインオン - APIバージョン管理および共有データ転送が

Question

オブジェクト私は、次のアーキテクチャ

これらと私のWebアプリケーションのためのSSOを実現し、基本的な流れです：

は今、概念的には、私にはOKと思われるが、どのようなすべてのアプリケーションがSSO Web APIに依存しているという事実はわかりません。

1. SSO Web APIで何か変更があった場合、すべてのアプリケーションが突然動作を停止する可能性があります。
2. SSO APIにユーザー（ユーザー名、電子メール、役割、機能）のDTOオブジェクトがある場合、App1とApp2と何らかの形でそれらを共有する必要があることを意味します。私はwsdlでSOAPを検討しましたが、WCFのより柔軟なクライアント側および後継者であるWeb APIを使用したいと考えています。私の頭に浮かぶのは、SSO APIのDTOオブジェクトを別のクラスライブラリプロジェクトに入れてApp1とApp2の両方で参照することです。

編集：私はあなたの二つの質問については役割/機能に基づく認証

Answer 1

とイントラネットアプリケーションのためにこれを必要とする：あなたのようなユースケースのために十分に確立された基準があります。 OpenID ConnectとOAuthまたはより古い、より企業のようなWS-Federation/SAMLをご覧ください。

とにかく、あなた自身のセキュリティを圧延することは、通常はお勧めではありません。避けるべきことは（evidence）です。すぐに使用できるソリューションについては、IdentityServerをご覧ください。

Answer 2

これは自家製SSOソリューションのようです。私は自分自身を構築しないことをお勧めします。一方

、あなたの質問に答えるために：

Q1：あなたはあなたのバージョンのAPIを持っています。それをバージョンアップするにはいくつかの方法があります。最も簡単なのは、ルーティングのバージョン番号を 「api/v2/sso」

とすることです。 DTOをお持ちの場合は、DTOのみを含むライブラリプロジェクトを作成することができます。ライブラリをApp1およびApp2プロジェクトでDLLとしてハード参照するか、またはNugetパッケージとして配布できます。私はナゲットパッケージを好んでいます - あなたはWebベース（IISでホストされている）またはネットワーク内の共有ドライブとしてのナゲットサーバーを持つことができます。