我有一个AngularJS Web应用程序,它从.NET Web API编写的API请求数据 .
现在,我使用我的客户端ID配置了ADFS 3.0 OAuth,并使用授权代码授权流程重定向URL(https://www.someredirecturl.index.html) .
我还有一个返回一些值的.NET Web API . 例如https://www.example.com/showData
-
每当我调用URL时,都会显示ADFS登录屏幕 .
-
然后,浏览器将使用授权码重定向到我的Redirect_URL . 例如https://www.someredirecturl.index.html?code=xxxxxxxxx
-
然后,我捕获代码并将其发送到ADFS服务器(POST REQUEST)以获取令牌 .
-
现在,我有令牌 .
完成此步骤后,我应该可以使用授权码:Bearer令牌调用我的API https://www.example.com/showData .
但是,如果不在服务器端编写任何内容,它是如何工作的 . 我是否必须使用密钥授权读取标头,提取令牌?做这个的最好方式是什么?
在任何时候,我都会直接在浏览器上看到数据,或者总是会被某些程序发送标头调用 .
如果www.example.com是一个网站怎么办?和www.example.com/api是一个资源 endpoints . 如何合并他们两个 . 用户可以在ADFS上输入凭据时登录www.example.com . 如何使用授权码从Redirect_URL重定向?
1 回答
是的 - 根据this .
基本上:
检查JWT是否格式正确
检查签名
验证标准声明
检查客户端权限(范围)
jwt.io有很多库为你做这个 .