Sto sviluppando un'applicazione web che comunicherà con un server tramite WebAPI. Il lato server sarà su Azure e il lato client sarà su hosting personalizzato con un'applicazione JavaScript (ad esempio con ReactJS).
Voglio autentificare l'utente in questo modo:
- Inserisci l'accesso e passa l'app del cliente.
- Il pass e l'accesso vengono inviati al server su HTTPS con AJAX.
- Se l'autenticazione ha esito positivo, il server restituisce un token al client.
- Il token è archiviato nella memoria locale.
- Tutte le future richieste al server conterranno il token memorizzato in precedenza come parametro.
Il modello di autenticazione è sufficientemente sicuro? Utilizziamo sempre .NET MVC per ora e memorizziamo le informazioni dell'utente nella sessione del server, ma questa è una situazione nuova, in cui il client non è stato eseguito direttamente sul server, ma comunica solo con esso tramite HTTPS.