ASP Authentification par défaut .NET Core Identity vs authentification JWT

C'est ainsi que je comprends cela, divisé en 3 parties logiques.

1. Serveur d'authentification - cela authentifiera et émettra le jeton JWT, lorsque l'API doit valider le jeton, il enverra le jeton à ce serveur pour le valider.
2. Client - c'est ce qui sert vos pages Web, ou votre application peut-être. C'est ce qui devra demander et stocker le jeton JWT. Le client devra transmettre le jeton à l'API chaque fois qu'il demande des données.
3. API - c'est ce qui sert les informations et doit valider le jeton avec le serveur d'authentification.

Alors, quels sont les avantages de ce JWT?

JWT est délivré au client et stocké côté client. Le fait d'avoir JWT permet à plusieurs clients (applications ou sites Web) d'utiliser le même serveur d'authentification qui distribue JWT et indique les API que le client peut utiliser et comment.

Comment puis-je stocker ce jeton JWT après la connexion?

J'ai seulement essayé de le stocker dans une application Ionic 2 qui utilise angular 2 qui a un module de stockage. Mais je suis sûr que de nombreuses personnes l'ont fait) déjà et posé cette question:

Authentification JWT simple dans l'API Web ASP.NET Core 1.

Authentification basée sur les jetons dans ASP.NET Core (actualisée)

Mise à jour Si votre front-end est purement html/js/css et n'a pas de back-end pour l'accueillir, vous stockerez votre token dans le stockage local , il existe plusieurs packages npm qui vous aident avec cela comme celui-ci . Vous souhaitez rechercher le flux implicite.

Sinon, si vous avez un serveur principal fourni avec votre serveur frontal, vous souhaitez stocker le jeton dans une session/base de données de votre choix, il existe des fournisseurs tiers pour le faire, comme IdentityServer4. Vous souhaitez utiliser le flux hybride

De plus, devrais-je même utiliser ce JWT? Dans mon cas, j'ai besoin d'une authentification simple pour WebApi simple qui sera utilisé par un ou plusieurs utilisateurs.

La raison de toute la séparation des préoccupations est la performance, donc vous n'en avez pas vraiment besoin car ce n'est qu'un ou un peu plus d'utilisateurs. Faites-le parce que c'est une expérience d'apprentissage, JWT n'est pas facile à configurer depuis le début et vous demandera de faire beaucoup de lecture et vous échouerez et vous serez frustré mais à la fin vous saura comment le configurer et comment il fonctionne

J'ai également entendu parler d'OpenIddict, Auth0, IdentityServer, alors quelle est la différence entre tous ces mécanismes d'authentification?

Donc, ce que vous avez fait dans le tutoriel Stormpath n'est PAS prêt pour la production. Ce n'est qu'une petite démo, pour vous aider à comprendre ce qu'est JWT et comment il fonctionne. Les éléments mentionnés ci-dessus sont des bibliothèques complètes qui s'attaquent à tous les travaux lourds et ne nécessitent pas que vous construisiez le tout à partir de zéro. Et la principale différence entre eux est l'étendue qu'ils couvrent.

J'ai personnellement utilisé IS4 et ça m'a fait pleurer pas plus de 2 fois (c'était plus simple que je ne le pensais): http://identityserver4.readthedocs.io/en/release/

https://github.com/openiddict/openiddict-core

https://auth0.com/docs/quickstart/webapp/aspnet-core/00-intro