Me gustaría cambiar la capa de seguridad de mi API de Autenticación básica a través de la infraestructura basada en reclamaciones HTTPS + (con reclamaciones completadas en un administrador delegante) a un mecanismo más robusto y compatibilidad con la autenticación de la aplicación cliente. Tengo algunas preguntas sobre eso.
Escenario: Tengo / tendre - X aplicaciones cliente que consumen una API REST existente (tanto web interna / aplicaciones nativas como socios) - Usuarios de Y
JWT cruzó mi camino pero estoy confundido acerca de la forma de autenticar a un usuario Y (usuario que intentaría iniciar sesión desde X).
¿Debo dejar que las aplicaciones cliente creen un JWT y luego pasar el nombre y la contraseña del usuario en el cuerpo del JWT? Se trata de datos confidenciales, por lo que probablemente debería exigir que el JWT esté cifrado, ¿verdad? Luego, si se conocen tanto la aplicación cliente X como el usuario Y, el authServer agregará algunas reclamaciones más al cuerpo de JWT (roles, etc.), lo firmará de nuevo, lo basulará, lo almacenará en la base de datos junto con la fecha de vencimiento, luego devuélvalo a la aplicación cliente X para que puedan consumir los puntos finales privados ... ¿Qué piensa? Es mucho trabajo del cliente ...
Otra opción sería 1 / requerir OAuth2 para la autenticación del usuario y 2 / JWT para la autenticación del cliente + capacidad para almacenar las reclamaciones del usuario en el token.
¿Qué piensas? ¿Ves otra opción?
Conversación relevante - > Fichas web de JSON (JWT) como identificadores de usuario y tokens de autenticación
Gracias por tu ayuda, Toni