我们正在研究移动报告应用程序的认证/授权,该应用程序使用MS Azure Cloud内部运行的内部提供的RESTful Web API服务通过电汇使用每小时/每周/每月的商业敏感数据。 Stormpath的产品看起来很有趣,因为它似乎对事物的整个身份管理方面提供了一些重型,注册用户,验证他们生产JWT令牌等 否则,我们将不得不编写自己的身份验证/用户数据库表并有一些管理开销。用于JWT认证/ Azure授权的Stormpath
我不完全清楚的是Azure提供的当前不安全,未经身份验证的原型API需要与Stormpath相交。 任何人,特别是那些熟悉斯托马斯的人能详细说明吗?
我得到所有的用户注册,密码恢复用例将通过Stormpath去,我猜测为用户创建JWT令牌将需要我们现有的服务与Stormpath对话。我们的RESTful调用的HTTP(S)头部中的令牌的验证是否由我们的Azure服务在本地(通过某个代码插件)完成,如果是,则是在本地完成验证,或者每个RESTful调用是否具有代理调用的副作用Stormpath API来验证令牌的好处?
我想我对性能敏感问题有关的Web API管线内的整个令牌验证步骤。
我已经在其他地方看到,微软自己有一个产品,即Azure AD B2C,它似乎还没有生产准备好美国/北美以外的地区。 除了Stormpath这样的外包服务外,我们还应该考虑其他什么?
一两件事,看起来大约像Stormpath吸引人的是双因素身份认证的可能性。 尚未进行太多分析,典型的使用案例情况是,注册或密码恢复将要求向用户的预先注册的智能手机号码发送短信,以提供更强的验证,以确认他们(及其预先注册的设备)是使用RESTful服务消费和可视化商业敏感数据的移动应用程序的预期用户。