すでに多くの質問が寄せられていることは承知しており、1 週間以上にわたってブログを読んだり、サンプルを見たりしてきましたが、これらのいくつかが現実の世界でどのように機能するかについては、まだ少し漠然としています。サンプルは非常に役に立ちます。非常に複雑なものもあれば単純なものもあり、私の質問のいくつかを実際に明確にするものはありません。
システムは次のとおりです。
- Web アプリ (独自の IIS サイト、SSL を使用、パブリック API を使用)
- パブリック API (独自の IIS サイト、SSL あり)
- デスクトップウィジェット
- モバイル (iOS、Android)
- サードパーティのアプリ
ユーザー登録とアカウント作成をどのように処理するのが最適ですか? OpenID を提供する一方で、Web アプリケーションへの「ローカル」ログインも必要です。基本データ型 (文字列/日付など...) の値を受け入れてからアカウントを作成する API のメソッドを持つことは、スパマーに問題と危険信号を要求しています。これは、ビジュアル CAPTCHA チェックを使用する Web サイトのみで処理するのが最善でしょうか? Facebook モバイル アプリは、この登録シナリオをどのように処理しますか?
多くのサンプルでは、メンバーシップ用の既定のフォーム認証データベースの小さなサブセットも使用されているようです。次に、Entity Framework と、Membership、WebSecurity または FormsAuthentication、Roles Provider クラスを、ユース ケースに応じてさまざまな方法で使用します。セキュリティ バックエンドを検討するために、このアプローチに代わるものはありますか? 私たちの DB 担当者は、独自の展開を検討していますが、独自のユーザー管理アプリも構築する必要があります :(
ユーザーが登録されて Web アプリにログインすると、WebAPI での各呼び出しの認証と承認を続行する方法がわかりません。現時点では、API は OAuth を実装し、Web アプリをモバイル アプリやサードパーティ アプリなどの別のクライアント アプリとして扱う必要があると想定しています。
これを頭の中で解決するには、コードをいじらずに読みすぎたと思います。非常に多くのアプローチがあります。
ティア、