交叉来源OAuth认证与ServiceStack

Question

我想用我的API网站进行身份验证&授权用户，并理想地保持我的UI网站纯静态内容（html，js，css）。 我已经配置ServiceStack的OAuth &的OpenID（和证书/基本）供应商，让他们回答api.mysite.com/auth/{provider}请求

我希望能够WWW的用户。 mysite.com能够进行身份验证，然后通过ajax调用API网站。

BootstrapApi example project - 虽然非常有用 - 演示运行在同一个域上的API &网站。

• 这是可能的/安全的静态JavaScript客户端？
• 我可以在子域之间共享cookie吗？
• 我可以将访问令牌返回给客户端，并在每次请求之前使用它来计算授权标头吗？

Answer 1

为了解决您的问题 -

• 这可能/安全使用静态JavaScript客户端？ 是
• 我可以在子域之间共享cookie吗？ 是
• 我可以将访问令牌返回给客户端，并在每个请求之前使用它来计算授权 标头吗？ 当然，但您也可以使用内置auth cookie的 。

这只是一个在顶级域名，类似于设置你的cookies的无论什么显示@ServiceStack - Authentication for domain and subdomains

真实