С Web API 2, ASP.NET 4.7, чтобы использовать его службу токенов или IdentityServer, особенно если рассматривать токены обновления?

Question

Я «изучаю» разработку веб-API ASP.NET с безопасностью, обеспечиваемой OAUTH2 и OpenId.Итак, я начал с шаблона веб-API.Шаблон Web API имеет свой собственный механизм управления пользователями «Индивидуальная учетная запись», который может выдавать токены через / Token.Однако получить маркеры обновления с помощью этого механизма немного сложнее.

Это заставило меня задуматься, стоит ли мне действительно стремиться предоставлять эту функцию, используя вместо этого IdentityServer.Если это так, насколько я понимаю, поскольку я использую ASP.NET 4.7 / MVC5, а не ASP.Core, то мне следует использовать IdentityServer3, а не версию 4.

Также есть все необходимые функции входа в системукогда срок действия маркеров доступа и токенов обновления истек.

Answer 1

Маловероятно, что кто-либо сможет окончательно сказать вам, использовать Identity Server или нет.Вам нужно будет принять это решение самостоятельно, поскольку вы больше всего понимаете проблемную область.

Если вы решите разгрузить аутентификацию для централизованного поставщика полномочий (например, Identity Server), то я могу вам сказать, что нет жестких зависимостей, которые заставили бы вас использовать Identity Server 3 или 4, поскольку они в конечном итоге соответствуютк протоколу oauth2 / oidc.Если у вас есть возможность размещать приложения .Net Core, я могу порекомендовать вам использовать Identity Server 4, так как эта реализация значительно более расширяема и обеспечивает исключительную гибкость.