Я пытаюсь настроить аутентификацию в следующей архитектуре:
- Веб-API REST, выполненный в ядре asp.net
- Клиент MVC, где «представление» — это одностраничное приложение (vue.js). Для справки, я использую этот шаблон: TrilonIO
Я хочу использовать сервер идентификации + идентификации.
Насколько я понимаю, мой API — это защищенный ресурс: чтобы получить к нему доступ, пользователь должен войти на сервер идентификации и получить токен.
Мое приложение MVC является одним из «клиентов» сервера идентификации. А вот тут я запутался:
Должен ли я реализовать аутентификацию в приложении mvc, чтобы основной контроллер индекса был защищен? Затем, чтобы «загрузить» спа-центр, пользователь должен будет пройти аутентификацию на сервере идентификации, получить токен, а затем может загрузить?
Или я игнорирую реализацию какой-либо аутентификации со стороны mvc и просто использую клиент oidc для реализации аутентификации со стороны браузера?
Если я реализую аутентификацию на маршруте mvc, то, по сути, пользователь проходит аутентификацию дважды: во-первых, вы проходите аутентификацию, чтобы получить доступ к представлению в приложении. После того, как вы получите доступ к спа-центру, вам необходимо пройти аутентификацию для доступа к веб-API. Будет ли достаточно одного «логина» для обоих? Как? Не будут ли токены настроены по-другому?
Если я выполняю аутентификацию только в браузере для доступа к ресурсам, то является ли мое приложение «небезопасным»?
Любое понимание будет оценено; Я определенно новичок в этом.
Заранее спасибо!