由于我们公司的技术比较落后,目前开发的所有给移动端以及 Web 端,使用的 WebAPI 接口都没有身份验证。安全性比较差。由于我们公司的客户都是传统企业的客户所以刚开始也没啥问题。但是,最近一段时间我们的系统老是别人各种攻击。所以想把这个问题解决了。
我很早以前就了解 OAuth 协议,但也只是了解。知道一些基本的概念。也接触过其他公司的一些开放接口基本上都是基于 Token的所以就打算找找 asp.net 下面有没有开源的省事的解决方案。
很快我发现了 Owin 这个东西以前都没听说过,从网上找了几个代码基本上都是基于他的而且非常简单就可以实现我想要的效果,让人洗出往外。搞了一个测试项目通过了以后就想了解了解 Owin 这个项目。
搜了一些文章大概知道 Owin 是一套标准规范。解决的主要问题就是让 Asp.Net 可以不依赖 IIS。当然还有一套非常牛逼的逻辑在里面,但是我没看懂。后来我又翻看了几篇文章,发现OAuth现在又更好的实现了 IdentityServer3,这个是基于 Owin 的但是好像是更牛逼。最新版本是4,但是只能运行在 .net core 下,所以过段放弃4使用3。
这个东西官方也有很多例子可以参考,网上也找了一些文章,基本上都是基于官方DEMO的。最后贴一些今天一下午找的一些比较优秀的文章。
