私は DotNetOpenAuth のサンプルを見て、この件について読んでいますが、特定の環境を保護するための実際の要件が何であるかについてはまだ少し漠然としています。私が調べたサンプルの多くは例外をスローするため、コードの実行が少しうまくいかなかったりします。
WebSecurity および OAuthWebSecurity クラスを使用する MVC Web アプリがあります。これにより、ローカル アカウントまたは OpenID プロバイダー アカウントを使用したログインがアプリに提供されます。システムには、別の Web サイトとソリューションに WebAPI もあります。
システムには、セキュリティ用とデータ用の 2 つのデータベースがあります。MVC Web アプリケーションにはセキュリティ データベースへの直接リンクしかありませんが、Api にはセキュリティ データベースとデータ データベースへの接続があります。データ データベースとのやり取りはすべて、WebApi を介して行われます。
私がやろうとしているのは、Api を保護することです。
Api を説明するための OAuth 関連の用語がよくわかりません。リソースサーバーの認可・認証サーバーを1つにまとめたものですか?場合によっては頼りになることもあるようです。
この API は、ユーザーに代わってサードパーティのアプリでも使用されるため、アプリケーション認証用の API キーも必要です。ユーザーとアプリは、純粋に API によってログインされます。
何をする必要があるかについての説明をいただければ幸いです。