Я работаю над созданием серии микро-сервисов с использованием Aspnet Core.Мобильное приложение, настольное приложение и веб-приложение будут использовать сервисы через API REST Http.
Для аутентификации пользователя я использую платформу Aspnet Core Identity, но я представляю создание учетных записей пользователей черезAPI REST.Клиенты выполняют вызов REST с информацией об учетных данных, и мой API использует API Identity Microsoft для обеспечения пользователя.Пользователю будет разрешено использовать отдельные серверы ресурсов с помощью сервера аутентификации с использованием IdentityServer4.
У меня есть два вопроса, по которым я не смог найти четких указаний с точки зрения безопасности.Должен ли проект Aspnet Core, использующий Microsoft Identity для создания пользователя, находиться в независимом проекте Aspnet Core от проекта, который обрабатывает аутентификацию через IdentityServer4?Есть ли недостатки, которые нужно разделить, что мне нужно учитывать?
В Microsoft Identity API есть шаблон и Razor Views, которые можно использовать для обработки аутентификации с точки зрения сервера, включая перенаправления при создании учетной записи иливход в систему и т. д. Если я делаю все через SPA или клиентские нативные приложения, то что-то не так с предоставлением POST API, который принимает информацию о пользователе, создает учетную запись через UserManager<T> и возвращает UserId?
Я хочу предоставить отдельную страницу входа, аналогичную FB / Google / Twitter и т. Д., Для Auth, которая будет использоваться в любом приложении, которое хочет авторизовать пользователя для моих служб.Я обычно не рассматриваю создание учетной записи как часть процесса OAuth.Типично, что вы разрешаете перенаправления на страницу создания учетной записи, которая перенаправляет обратно клиенту при успешном создании учетной записи, или этот процесс обычно используется только для проверки подлинности через потоки OAuth?