.net core - que - ¿Podemos asegurar una aplicación React 2.0 de dotnet core con solo la identidad aspnet?
razor pages que es (1)
Intentaré responderte por tus preguntas.
Q.1. ¿Es posible asegurar una aplicación de reacción usando solo la identidad aspnet, y si es así, por qué tantas personas se dirigen directamente a JWT como la solución para asegurar las aplicaciones SPA?
Q.2. ¿Es la autenticación basada en token el único método que funciona con una aplicación SPA, o puedo usar la autenticación basada en cookies?
Respuesta a la primera pregunta (esta pregunta está relacionada técnicamente con la diferencia entre el enfoque de autenticación basado en cookies y en token).
Sistema de autenticación basado en cookies
- sesión basada en cookies es StateFull . como aquí, el servidor necesita un seguimiento de la sesión activa, mientras que en el extremo frontal / cliente se crea una cookie que contiene un identificador de sesión.
- Puede proteger su api web utilizando un sistema de autenticación basado en cookies. pero en un ámbito muy limitado, debido a que el sistema basado en cookies no funciona bien, en clientes nativos o supongamos que si su api web va a ser consumida por alguna otra api web,
Sistema de autenticación basado en token
es StateLess ya que el servidor no guarda aquí la pista de qué token se emiten o qué usuarios inician sesión.
Aquí el servidor necesita verificar solo la validez del token. así que el enfoque basado en token está más disociado que el basado en cokie.
Fuentes
- https://auth0.com/blog/cookies-vs-tokens-definitive-guide/
- Actualizar el enlace anterior (Auth0) no funciona más Enlace actualizado
- https://docs.microsoft.com/en-us/dotnet/standard/microservices-architecture/secure-net-microservices-web-applications/
Respuesta a la segunda pregunta
Sí, puede implementar la autenticación basada en cookies en el spa utilizando el software de autenticación de cookies de OWIN .
Puede encontrar más información al respecto en el siguiente enlace.
Esperanza de arriba ayudará.
Estoy construyendo un SPA usando React y Redux sobre el núcleo 2.0 de dotnet. Desafortunadamente, la plantilla vs2017 para esto no incluye la Autenticación / Autorización.
Al mirar a mi alrededor, vi a muchas personas hablar sobre el uso de JWT y sugerir cosas como Identity Server u OpenIddict para manejar esto, pero solo antes he usado la identidad ASP.NET para manejar la seguridad.
Mi pregunta es, ¿es posible asegurar una aplicación de reacción usando solo la identidad de ASP.NET Y si es así, ¿por qué tantas personas se dirigen directamente a JWT como la solución para asegurar las aplicaciones de SPA?
¿Es la autenticación basada en token el único método que funciona con una aplicación SPA, o puedo usar la autenticación basada en cookies?