同一应用程序中的Cookie和持有者令牌 [英] Cookies AND Bearer Token in the same application

问题描述

所以，这是我的情况。我有一个Web应用程序，用户可以在其中注册和管理/查看每次预约医生时自动生成的数据。同时，这些用户数据通过API向任何经批准的客户端(第三方应用程序)公开。此外，这些客户端可以将数据提供给API。因此，我的网络是其他客户可以消费/馈送的用户数据的中央存储库。没关系。

现在，我希望用户使用电子邮件和密码(而不是FB或Twitter等)在我的Web应用程序中创建一个帐户，以便他们可以验证和授权客户端访问他们的数据。典型的Facebook-Twitter/Apps关系。

当我试图为我的网站实施正确的身份验证/授权方法时，我的两难境地出现了。一方面，Web应用程序将允许他们的用户访问，这样他们就可以看到他们的数据。想象一下你用你的电子邮件和密码登录Facebook。这是在MVC5上通过一些迷你SPA实现完成的……也许吧，所以我想在这里使用常规的cookie，因为它都是"内部的"。同时，当涉及到允许Cients访问我们的用户数据时，我必须实现OAuth/持有者令牌身份验证。

我在这里找到了这个问题。Using bearer tokens and cookie authentication together

这是实施我的安全基础设施的正确方式吗？

谢谢！

推荐答案

当您使用OpenID-CONNECT时，您将以用户身份进行身份验证并取回令牌。在ASP.NET中，接收到的ID-令牌用于创建本地会话Cookie。您还可以将收到的令牌存储在Cookie中。

然后，当您稍后要访问API时，您将从用户会话中获取令牌，并使用访问令牌调用API。

因此，是的，作为OIDC登录的结果，您通常总是创建基于Cookie的会话。

这篇关于同一应用程序中的Cookie和持有者令牌的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！