質問
次の例と同様の設定を使用する場合:
他のクライアント側のファイルがアクセスされないように保護することは可能でしょうか? たとえば、アクセスできるようにするために特定の役割が必要な特定のファイルを含むディレクトリがあるとします。
ログインする前に、SPA がアクセスされないように保護することはできますか?
または、保護された API、サーバー上のフォルダー/ファイル、SPA、および OIDCClient にあるようなサイレント更新メカニズムで終わるより良いソリューションはありますか?
@dmccaffery が私の質問に答えてくれました。興味のある方のために、彼の回答を以下に示します。
要約すると、SPA に OIDCClient を使用することは確かに適切な方法です。認証が必要なものの公開は、API を使用して行う必要があります。ルート ガードを使用して、Angular アプリの一部を保護することができます。
仕組みは次のとおりです。
アクセス トークンは、JWT またはベアラー トークン (通常) のいずれかであり、oidc クライアントによって承認ヘッダー内のすべての HTTP 要求に追加されます。Web API が要求を受信すると、ベアラー トークン承認ミドルウェアがこの HTTP ヘッダーを解析し、トークン イントロスペクション エンドポイント (および場合によってはユーザー情報エンドポイント) を呼び出して、トークンを検証し、ユーザーのクレームを取得します。トークンがクライアントによって操作された場合、トークンは有効ではなく、HTTP エラーが返されます (通常は 403 )。トークンが有効であった場合、クレーム ID が作成され、http 要求コンテキストに割り当てられます。API には、そのユーザーを表す ID が既に割り当てられたスレッドが作成されます。
また、彼はおそらく役立つ 2 つのpluralsight コースを指摘しました 。接続角度-aspdotnet