Мы строим наш публичный сайт на Wordpress и на сервере Linux. Пользователь войдет на сайт WordPress с помощью OAuth2. Наши данные и API будут построены на сервере ASP.NET MVC4. У меня есть несколько проблем, которые мне нужно решить, и я пытаюсь выяснить наиболее безопасный способ аутентификации на сервере IIS. 1. Мне нужно пройти аутентификацию с помощью Wordpress. 2. Мне нужно связать номера клиентов с логином от 1 выше. 3. Как-то мне нужно будет использовать этот связанный номер клиента, а некоторые для проверки подлинности, чтобы сервер IIS мог обслуживать запрошенный API.Сайт WP, веб-API ASP.net ApiController
Некоторые мысли заключались в том, чтобы хранить какой-то UUID для каждого номера клиента и хранить его на сервере WP и IIS, а затем, когда запрос поступает в IIS, подтверждается, что переданный UUID соответствует тому, что было выдано на сервер WP на этапе 2 выше. Я обеспокоен тем, что этот UUID может быть скомпрометирован/подделан позже и что UUID может использоваться для совершения вызовов API на сервере IIS.
Каков наилучший способ реализации безопасности на сервере IIS, который позволяет клиенту регистрироваться только на сервере Wordpress?
Вы хотите аутентифицировать тех же пользователей как на IIS, так и на сервере с API? Почему вы не проверяете их подлинность только в Wordpress и используете некоторые отдельные учетные данные для Wordpress, чтобы потреблять все, что есть у вашего API? – Renan
Я только хочу их аутентифицировать на WP, но API на IIS7 будет называться, возможно, из Angular или Jquery на странице. Таким образом, между ними существует небольшая дизъюнкция. – Codersjunto
Если бы я собирался использовать только серверные вызовы API и мог блокировать IIS, чтобы обслуживать только сервер WP, который я бы сделал, и, возможно, все же придется сделать это таким образом. Разработка WP будет выполняться кем-то другим, и я занимаюсь программированием API. – Codersjunto