我在一台服务器上有一个带有RESTful应用程序接口的.Net核心3.2站点,在另一台服务器上有一个客户端网站。用户仅通过Facebook、Google或Microsoft等外部提供商向客户端应用程序进行身份验证。我们还将使用Identity Server 4.0,但它的作用与另一个外部提供程序相同。
问题是,一旦在客户机上对用户进行了身份验证,并确定了他们被授予的角色/声明,我们如何从API请求特定的资源?客户端web应用程序知道用户的情况,知道用户是他们所说的那个人,并且客户端应用程序知道他们能做什么。我们如何将该信息安全地转发到API?
我在考虑API和网站之间的client_crede