Contexto
En .Net 4.6, mi equipo utilizó los sistemas integrados de autenticación / autorización de Microsoft principalmente a través de sus herramientas de Owin. En .Net Core Microsoft decidió NO portar ese segmento de herramientas. Entonces, tomamos la decisión de escribir nuestro propio middleware de autenticación para generar, autenticar y autorizar JWT en nuestras aplicaciones .Net Core.
Nota: Tuvimos cuidado de asegurarnos de seguir muy de cerca el estándar OAuth
La pregunta
¿Hay algún 'sello de aprobación' para nuestro middleware de autenticación personalizado que podríamos tener para garantizar que la seguridad de la aplicación de nuestros clientes sea confiable?
El escenario
La idea es que un cliente pueda venir a nosotros y decir '¿qué tipo de seguridad está usando en nuestra aplicación?' Le explicaríamos el flujo de seguridad utilizado en la aplicación e incluiríamos nuestra autenticación personalizada en esa respuesta. Entonces, probablemente podrían responder 'Custom auth middleware? Eso suena peligroso, ¿cómo puedes asegurarnos de que esté seguro?
Las posibilidades
Lo que buscábamos podría ser un certificado, podría ser solo para decir que nuestro sistema de autenticación sigue un estándar particular. O tal vez, no hay nada en absoluto y lo mejor que podemos hacer es simplemente decir 'confía en nosotros, hemos hecho esto antes ... -_-'.