Tôi muốn sử dụng trang web API của mình để xác thực & ủy quyền của người dùng và lý tưởng giữ cho trang web giao diện người dùng của tôi hoàn toàn là nội dung tĩnh (html, js, css). Tôi đã cấu hình OAuth ServiceStack của & OpenID (và chứng chỉ/cơ bản) cung cấp, vì vậy họ trả lời cho api.mysite.com/auth/{provider} yêu cầuXác thực OAuth gốc với ServiceStack
Tôi muốn để có thể sử dụng các www. mysite.com để có thể xác thực và sau đó thực hiện cuộc gọi đến trang API thông qua ajax.
BootstrapApi example project - mặc dù rất hữu ích - thể hiện trang web API & chạy trên cùng một tên miền.
- Điều này có thể/an toàn với ứng dụng khách JavaScript tĩnh không?
- Tôi có thể chia sẻ cookie giữa các tên miền phụ không?
- Tôi có thể trả lại mã thông báo truy cập cho khách hàng và sử dụng nó để tính toán tiêu đề Cấp quyền trước mỗi yêu cầu không?