Kreuzursprung OAuth Authentifizierung mit ServiceStack

Question

Ich möchte meine API-Website für die Authentifizierung & Autorisierung von Benutzern verwenden und idealerweise meine Website-Site rein statischen Inhalt (html, js, css) zu halten. Ich habe ServiceStack OAuth & OpenId (und Credential/unverwässert) Provider, so antworten sie auf api.mysite.com/auth/{provider} Anfragen

Ich möchte in der Lage sein für die Nutzer von www konfiguriert. mysite.com in der Lage sein, zu authentifizieren und dann Aufrufe der API-Site über Ajax.

Die BootstrapApi example project - obwohl sehr nützlich - demonstriert die API & Website, die auf der gleichen Domäne ausgeführt wird.

• Ist dies mit einem statischen JavaScript-Client möglich/sicher?
• Kann ich einen Cookie zwischen Subdomains freigeben?
• Könnte ich das Zugriffstoken an den Client zurückgeben und es verwenden, um vor jeder Anforderung einen Berechtigungsheader zu berechnen?

Answer 1

Ihre Fragen zu beantworten -

• Ist das möglich/secure mit einem statischen Javascript-Client? Ja
• Kann ich einen Cookie zwischen Subdomains teilen? Ja
• Könnte ich das Zugriffstoken an den Client zurückgeben und es verwenden, um eine Autorisierung Header vor jeder Anforderung zu berechnen? Sicher, aber Sie können auch einfach den integrierten Auth-Cookie verwenden.

Es ist nur eine Frage der Einstellung, um Ihre Cookies auf der Top-Level-Domain, ähnlich wie @ServiceStack - Authentication for domain and subdomains

gezeigt ist