我目前能够托管一个且只有一个站点(意味着在一个域下) . 我将有一个SPA前端,Web Api资源,然后是IdentityServer4用于安全性(利用AspNetCore Identity框架进行用户管理) .
作为单一托管网站架构,这种方法感觉“错误” . 我相信AspNet Identity会在通过身份验证后创建一个身份验证cookie,然后IdentityServer将为我的SPA提供JWT令牌来调用我的API .
经过进一步的反思,这似乎是错误的 . 似乎关闭的是我相信我的API调用也将自动附加auth cookie以及标头中的JWT标记,因为API调用将从生成auth cookie的同一域请求 . 所以我似乎在不必要地同时使用两种形式的身份验证......想法?
换句话说,当一切都在一个域下运行时,是否需要将IdentityServer4添加到启用AspNetCore身份的应用程序中?如果将应用程序与其资源(Web Api)分开部署,那么IdentityServer4中管道的一个好处是将来证明该应用程序,那么除了要修改的配置之外,您将只有它 .