使用外部身份验证提供程序来获取用户凭据,使用私有 IdentityServer 来生成令牌

问题描述 投票:0回答:2

我正在设计一个安全后端,它应该为多个客户端提供令牌,以保护多个 API。用户数据库位于 Azure B2C https://azure.microsoft.com/en-us/services/active-directory-b2c/。 我想创建包含基于用户访问的不同声明的 API 令牌。例如:用户 A 应该能够调用 /api/stores/11,但不能调用 /api/stores/12。

使用案例:

  • 直接进入 Azure B2C 以进行用户登录和令牌生成的应用程序 (iPad)。使用此令牌调用 API 进行用户个人资料社交互动等。
  • 将调用相同API(不同模块)且具有访问权限限制的外部系统。外部系统将有管理员,他们也将从 Azure B2C 获取凭据。

到目前为止我的解决方案:

  1. IdentityServer4 (https://github.com/IdentityServer/IdentityServer4),调用 Azure B2C 登录来验证用户凭据。
  2. 一旦身份验证完成(在回调中),IdentityServer 将应用用户对外部系统拥有的任何声明(访问权限等),然后生成令牌。 IdentityServer 将有一个本地数据库,用于连接具有访问权限的用户 ID/电子邮件。
  3. API 将使用多租户身份验证提供程序来支持来自 Azure B2C 的令牌和我的“中间”IdentityServer。提供者分别是 IdentityServerAuthentication 和 OpenIdConnectAuthentication。

我的问题是这是否是一个可行的解决方案?是不是太复杂了?在这种情况下,你会采取什么不同的做法?我不想实现第二个用户登录,而且Azure B2C似乎不支持细粒度的访问权限。

.net azure authentication identityserver4
2个回答
4
投票

这其实是一个很常见的架构。

核心身份和代币平台归所有——这是唯一明智的做法。

然后您可以使用任何机制(在您的情况下是 Azure B2C)来进行身份验证。将来您可能希望添加包含用户或其他身份验证机制的本地数据库。那完全没问题。

重要的一点是 - 您的应用程序不关心这一点。他们只知道您的平台(在您的情况下使用身份服务器构建)。如果您决定有一天需要更改身份验证提供商 - 没关系。您的应用程序不受这一事实的影响。

此时,您的应用程序和服务只需要信任来自 IdentityServer 的令牌 - IdentityServer 负责与外部各方建立信任关系。

1
投票

这对于 IdentityServer4 来说是非常可行的。您的用例可以得到满足。我建议查看样本

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.