ASP.NET Web API 2.2具有混合身份验证的OWIN JWT和SAML

Question

我们有一个WebAPI需要服务于不同的客户端应用程序，每个应用程序使用不同的身份验证机制。一个Web应用程序客户端将使用SAML进行身份验证，然后将基于SAML的令牌传递给WebAPI。另一位将使用OpenID Connect令牌进行身份验证。

我们需要能够在WebAPI中消化这两种类型的令牌，验证它们并验证它们。任何人都可以阐明如何实现这一目标？任何意见将不胜感激。

Answer 1

您使用的是什么IDP？

某些IDP例如可以将ADFS配置为在SAML连接上传递JWT令牌。

SAML并非真正用于Web API。你可以例如使用SAML/OIDC进行身份验证，然后将客户端凭据流用于仅依赖密钥的Web API。这不会有用户上下文。