ASP.NET WebAPI を使用して API に取り組んでいます。認証はサードパーティによって行われ、認証する SAML トークンが送信されます (確認する証明書が提供されます)。
ただし、SAML トークンは非常に大きいため、検証を続けたくないので、Simple Web Token などを発行したいと考えています。私が Web で目にするすべての例には、サード パーティ、または SWT を発行するある種の ID サーバーが含まれています。
自分でトークンを発行できない理由はありますか? 私は wif.swt の使用を検討していました。トークンを安全に保つために何を考慮する必要がありますか?
これが私があなたの提案を解釈した方法です...サードパーティにSAMLトークンを送信してもらい、検証されたら、サードパーティがその後サービスと通信するために使用するセッショントークンとしてより小さなSWTを発行したいと考えています(おそらくある種の有効期限まで)?
最初のポイントは、最初に JSON Web Token JWTを見てみましょう。SWTよりもさらに軽量である必要があり、最も重要なことは、仕様でトークンを保護する方法 (HMAC 256 署名または暗号化) が明示的に説明されていることです。
これらを操作できる多くのライブラリがあります。
冒頭で述べたアプローチがあなたの求めていたものである場合は、SAML トークンを取得し、 Thinktectureライブラリを使用して JWT セッションを返す例を次に示します。