Защита веб-API 2.2 с помощью IdentityServer4

Question

У меня есть API-интерфейс API 2.2, который использует инфраструктуру .Net 4.5.2, которая используется приложением углового2, и существует существующая реализация IdentityServer4. Я хочу защитить свой веб-API с помощью IdentityServer4. Мой вопрос: могу ли я защитить Web API 2.2 с помощью IdentityServer4? Если да, то я два последующие вопросы

1. Должен ли я использовать NuGet пакет IdentityServer3.AccessTokenValidation или мне придется использовать IdentityServer4.AccessTokenValidation? (Я попытался использовать пакет IdentityServer4.AccessTokenValidation, но он добавил много зависимостей, связанных с ASP.Net Core)
2. Какова должна быть ценность URL-адреса полномочий, которую мне нужно будет использовать?

Я мог бы найти множество примеров, когда IdentityServer4 используется для защиты ASP.NET Core Web API. Однако не удалось найти хороший пример, где Web API 2.2 защищен с использованием IdentityServer4. Если возможно, укажите мне хороший пример конфигурации идентификационного сервера, который требуется на стороне веб-API.

Answer 1

Чтобы ответить на ваши вопросы:

1) Ваш проект WebAPI 2,2, несомненно, с помощью Owin/Катана из ASP.NET 4.x, который означает, что вы должны использовать IdentityServer3.AccessTokenValidation. IdentityServer4.AccessTokenValidation совместим с новым конвейером ASP.NET MVC Core.

2) Вы можете получить свои полномочия, обратившись к документу об обнаружении удостоверения личности в {IdentityUrl}/.well-known/openid-configuration. Этот орган должен быть таким же, как значение «эмитента» в документе обнаружения. Вы также можете получить полномочия, посмотрев на JWT, выданную вашим провайдером удостоверений, просмотрев заявку «iss».