Vorrei cambiare il livello di sicurezza della mia API da Basic Auth su HTTPS + infrastruttura basata sulle attestazioni (con attestazioni popolate in un delegante) su un meccanismo più robusto e supportare l'autenticazione dell'app client. Ho alcune domande a riguardo.
Scenario: Ho / avrò: - Applicazioni client X che consumano un'API REST esistente (sia web interno / app native e partner) - Utenti Y
JWT ha attraversato il mio percorso ma sono confuso sul modo di autenticare un utente Y (utente che proverà ad accedere da X).
Devo lasciare che le app client creino un JWT e poi passino il nome e la password dell'utente nel corpo del JWT? Sono dati sensibili, quindi dovrei probabilmente richiedere che il JWT sia crittografato, giusto? Quindi, se sono noti sia l'app del client X che l'utente Y, il authServer dovrebbe aggiungere ulteriori attestazioni al corpo del JWT (ruoli ecc.), Firmarlo di nuovo, renderlo base64, memorizzarlo nel db insieme alla data di scadenza, quindi restituirlo all'applicazione client X in modo che possano consumare gli endpoint privati ... Che cosa ne pensi? È molto lavoro da parte del cliente ...
Un'altra opzione potrebbe essere 1 / richiedere OAuth2 per l'autenticazione utente e 2 / JWT per l'autenticazione client + possibilità di memorizzare le attestazioni dell'utente nel token.
Che ne pensi? Vedi un'altra opzione?
Conversazione pertinente - > Token Web JSON (JWT) come token di identificazione utente e autenticazione
Grazie per il tuo aiuto, Toni