Nota: non sono un architetto né un esperto di sicurezza, farò del mio meglio per spiegarlo.
Attualmente mi è stato assegnato il compito di creare una nuova API Web2 asp.net, c #.
Il livello è il seguente ...
Client >> New(public) Web API >> Current WCF >> MSSQL DB.
L'attuale WCF verrà sostituito eventualmente con un'API Web interna. Quindi sarà come ...
Client >> New(public) Web API >> New(Internal) Web API >> MSSQL DB.
Ora al momento devo configurare l'autenticazione, la mia scelta iniziale era usare i token bearer identity2 + Oauth sulla nuova web api.
Tuttavia mi è stato detto che non posso, invece vogliono che l'autenticazione sia gestita nel layer della facciata della WCF perché il mio modo di procedere non è abbastanza sicuro per l'impresa.
È possibile proteggere un'API Web pubblica utilizzando solo identità e Oauth nell'API Web? o devo passare attraverso il layer WCF esistente (WCF è configurato con un proxy complesso) e utilizzare il token bearer nella facciata.
Per chiarire
Dovrei usare Oauth 2.0 e identity2 sul livello API web, o in qualche modo farlo sul layer facciata wcf?