我有一个用AngularJs编写的单页面应用程序(此时框架是无关紧要的)应用程序托管在IIS中,它由index.html和一堆客户端资产组成.
在后端我有WebApi 2,也作为单独的应用程序在IIS中托管.
对于客户端身份验证,我使用Firebase(简单登录),启用了几个社交网络,如Facebook,Twitter或Google.
到现在为止还挺好.我喜欢用firebase启用twitter身份验证是多么容易.
在使用社交网络登录时,我从firebase返回,firebaseAuthToken和提供者accessstoken.
现在我想使用firebaseAuthToken或提供者访问令牌来验证我的WebApi.
问题是:在给定条件下使用WebApi进行身份验证的最佳方法是什么?
因为我在服务器上安装了复杂的业务逻辑,所以没有选项只使用firebase来存储我的数据并摆脱web api.
到目前为止,我有一个愚蠢的想法是将社交提供者访问令牌传递给服务器,针对提供者验证令牌,然后使用Owin -Katana发出安全令牌.
由于缺乏文档,复杂性以及与单页应用程序的错误集成,我没有使用katana构建社交提供程序支持.我发现SPA的视觉工作室模板太具体了.但那是我:)