Blazor WebAssembly - 用户帐户和身份服务器的最佳实践

Posted 2023-03-27

【中文标题】Blazor WebAssembly - 用户帐户和身份服务器的最佳实践

【英文标题】：Blazor WebAssembly - Best practices for User Accounts and Identity Server

【发布时间】：2021-06-26 14:26:05

【问题描述】：

我正在尝试在我的软件中创建一个基本的用户管理模块，并且我已按照本指南创建模块：

https://docs.microsoft.com/en-us/aspnet/core/blazor/security/webassembly/hosted-with-identity-server?view=aspnetcore-5.0&tabs=visual-studio

我想这是微软推荐的最佳做法。但是，我不明白以下内容：

授权服务器端的部分是否已处理？我想确保没有任何部分（或最低限度）在服务器端呈现，并且授权应该主要发生在 API 调用中，因为我使用的是 Blazor WebAssembly。所以我想知道为什么我们可以指定 .cshtml 文件等，因为我认为那是服务器端呈现的代码。 在指南中，他们多次引用 IdentityServer（似乎是第三方软件组件）。我正在构建的应用程序是商业应用程序。我有义务为 IdentityServer 购买许可证吗？如果是，是否有 Microsoft 推荐的免费方式来做同样的事情？ IdentityServer 和 IdentityServer4 有什么区别？ 我最终要做的是一个 Microsoft 最佳实践模块，它允许管理员创建和处理具有不同角色以及访问 Blazor WebAssembly 项目不同部分的用户。也许还有其他直接的方法可以做到这一点？今天的最佳做法是什么？

【问题讨论】：

您可能希望一次只关注一个问题。

【参考方案1】：

身份验证和授权应始终由 后端，因为前端总是可以被操纵或模拟。 如果您遵循这些说明，授权将完全 由服务器端处理。登录和注销功能将 将您重定向到服务器上运行的剃须刀页面。当用户在 经过身份验证后，将创建一个 JWT 并将其发送到您的 Blazor 应用程序。 然后可以使用此令牌发送身份验证信息 与后续的 HTTP 请求。得到这个有点棘手 接近并运行，但效果很好。

这些示例中使用的身份服务器是 ASP.NET 的一部分。

IdentityServer 和 IdentityServer4 指的是 IdentityServer 包含在 ASP.NET 中。

您也可以使用基于 Cookie 的身份验证并创建 Web API 来处理 登录/注销并提供用户信息。易于设置和提供 用于身份验证的 Blazor UI。确保有一个 使用此方法时的加密连接，因为您需要 通过 HTTP 请求发送登录信息。

无论如何，我个人会坚持微软的建议并使用 JWT。