Xác thực OAuth gốc với ServiceStack

Question

Tôi muốn sử dụng trang web API của mình để xác thực & ủy quyền của người dùng và lý tưởng giữ cho trang web giao diện người dùng của tôi hoàn toàn là nội dung tĩnh (html, js, css). Tôi đã cấu hình OAuth ServiceStack của & OpenID (và chứng chỉ/cơ bản) cung cấp, vì vậy họ trả lời cho api.mysite.com/auth/{provider} yêu cầu

Tôi muốn để có thể sử dụng các www. mysite.com để có thể xác thực và sau đó thực hiện cuộc gọi đến trang API thông qua ajax.

BootstrapApi example project - mặc dù rất hữu ích - thể hiện trang web API & chạy trên cùng một tên miền.

• Điều này có thể/an toàn với ứng dụng khách JavaScript tĩnh không?
• Tôi có thể chia sẻ cookie giữa các tên miền phụ không?
• Tôi có thể trả lại mã thông báo truy cập cho khách hàng và sử dụng nó để tính toán tiêu đề Cấp quyền trước mỗi yêu cầu không?

Answer 1

Để giải quyết thắc mắc của bạn -

• Đây có phải là có thể/an toàn với một khách hàng javascript tĩnh? Có
• Tôi có thể chia sẻ cookie giữa các tên miền phụ không? Có
• Tôi có thể trả lại mã thông báo truy cập cho khách hàng và sử dụng nó để tính toán tiêu đề Ủy quyền trước mỗi yêu cầu không? Chắc chắn nhưng bạn cũng có thể sử dụng được tạo trong cookie xác thực.

Nó chỉ là một vấn đề thiết lập cookie của bạn trên miền cấp cao nhất, tương tự như những gì đang thể hiện @ServiceStack - Authentication for domain and subdomains