我想使用我的API网站进行身份验证和用户授权,理想情况下保持我的UI网站纯静态内容(html,js,css).
我已经配置了ServiceStack的OAuth& OpenId(和凭证/基本)提供商,因此他们回答api.mysite.com/auth/{provider}请求
我已经配置了ServiceStack的OAuth& OpenId(和凭证/基本)提供商,因此他们回答api.mysite.com/auth/{provider}请求
我希望www.mysite.com的用户能够通过ajax进行身份验证,然后调用API站点.
BootstrapApi example project – 虽然非常有用 – 演示了API&网站在同一个域上运行.
>使用静态javascript客户端是否可行/安全?
>我可以在子域之间共享cookie吗?
>我可以将访问令牌返回给客户端,并在每次请求之前使用它来计算Authorization标头吗?
解决你的问题 –
>使用静态javascript客户端是否可行/安全?是
>我可以在子域之间共享cookie吗?是
>我可以将访问令牌返回给客户端并使用它来计算授权
每个请求之前的标题?当然,你也可以使用
内置身份验证cookie.
这只是在顶级域名上设置cookie的问题,类似于@ ServiceStack – Authentication for domain and subdomains所示