Per un progetto imminente, dobbiamo creare un'applicazione web protetta con ASP.NET MVC. Questa applicazione Web comunicherà con un'API Web ASP.NET per tutte le azioni CRUD.
L'utente avrà un account sul sito Web, quindi stavo pensando di utilizzare l'identità di ASP.NET. Tutte le chiamate saranno in https (per impostazione predefinita), ma non sono sicuro di come implementare l'autenticazione e l'autorizzazione nell'API Web.
Devo usare l'autenticazione basata su token?
Sposto la gestione degli utenti del sito Web nell'API Web?
Ho un altro set di credenziali per il mio utente nell'API Web, con un'istanza dell'utente nel database locale del sito Web e una nell'API Web / database centrale?
Se implementiamo un'architettura multi-tenant in cui più clienti coesistono nello stesso ambiente, dovrò gestire l'autenticazione dei token in modo diverso? Nel caso in cui diamo accesso all'API a una terza parte, ritengo che non sia sicuro inserire l'ID titolare in tutte le chiamate, per prevenire le falsificazioni delle richieste.
Abbiamo bisogno di suddividere il progetto in questo modo poiché le seguenti fasi saranno lo sviluppo di una versione mobile di questa applicazione web, e un'altra delle nostre applicazioni Web utilizzerà l'API Web.