我有一个应用程序,它是一个连接到 ASP.Net 核心API服务端的SPA角度应用程序。 我的第一个问题是,Okta 身份验证应该在 Angular 客户端或服务端使用客户端 ID 和密钥进行在哪里进行?
另一件事是,是否可以使用 SAML,如果用户已经过身份验证,则可以通过 SAML 传递该内容,而不会提示用户输入凭据?
始终在服务器上进行身份验证。客户端的所有内容都可以读取。大多数具有此设置的应用会为每个请求传递一个令牌,该令牌在 .net 核心端进行验证/验证。
一个简单的流程是: 用户输入凭据 -> POST 到验证它的服务器 -> 服务器返回令牌 -> 令牌存储在本地存储中,并在命中 API 时在每个后续请求中传递。
查看 Angular 中的 Guards,这将有助于控制您的前端,而如果请求中有有效的令牌,服务器端将起作用。
这里有一个可能有帮助的附加链接: https://developer.okta.com/blog/2018/04/26/build-crud-app-aspnetcore-angular