hVosttИ в чём тогда смысл SSO в твоё проекте?

Ну, SSO очень много плюшек имеет из коробки. Там очень много разных способ аутентификации. Телефоны, пин-коды, разовые ссылки и далее.

hVosttМожно просто через API дать логин/пароль и спросить можно или нет,
Там и SPA с ручной защитой, и простые защищенные ресурсы через IsInRole.

hVosttЭмм.. это всё и без SSO можно :)

Но там это всё УЖЕ есть. Ты хочешь сказать, что полно разных пакетов/решений, которые устанавливаются в проект - и дают вот это вот всё?

Petro123Про телефон и пин код не понял.

На телефон приходит код, который надо ввести на сайте, чтобы залогиниться

Petro123Смски там кто оплачивает? Как сделано?

Да хз. Я для примера.

А что OAUTH вообще определяет?

Посмотрел на документацию контакта - удивился.
refresh токена нет.
маркер доступа получаем get запросом, все параметры - в теле запроса.

с тем же блицом - все несколько по другому.

Как это обрабатывают все эти дженерик либы?

hVosttАгнец за бортом,

Есть там рефреш токен.

Я доку читаю - нет там refresh токена. Предлагают "повторять процедуру авторизации".

Агнец за бортом,

--Процедуру авторизации приложения необходимо повторять в случае истечения срока действия access_token, смены пользователем своего логина или пароля или удаления приложения из настроек.

Агнец за бортомПосмотрел на документацию контакта - удивился.

Я говорю про oauth контакта (vk).

hVosttАгнец за бортом,

https://vk.com/dev/access_token

не увидел поддержки соответствующего grant, ну да и хрен с ним )
для задач доступа к апи вконтакта оно и не нужно

Так в этом и вопрос - это нормально лепить процессы OAUTH кто во что горазд?

Агнец за бортомhVosttАгнец за бортом,

https://vk.com/dev/access_token

не увидел поддержки соответствующего grant, ну да и хрен с ним )
для задач доступа к апи вконтакта оно и не нужно

Так в этом и вопрос - это нормально лепить процессы OAUTH кто во что горазд?

Если пытаться делать какую-то дженерик либу для всех этих сервисов, то на что она будет похожа??
У одного сервиса POST, у другого GET, у одного в заголовках, у другого в параметрах...

Один возвращает данные в виде JWT-токена, другой - в виде простого JSON-а.

Пытаться обобщить всё это - намного бОльшая куча работы, чем захардкодить втупую каждый сервис.

Или я неправ?

hVosttуже есть в стеке asp.net core

К слову, а сейчас вообще имеет смысл юзать НЕ CORE? Или про .NET MVC уже забыть можно?

hVosttНет обязаловки поддерживать их все.
Странно это всё...

Вообще интересно.

Вне SSO, забудем пока про него.

На примере авторизации с контактом.

При запросе ресурса, в каком-то месте приложения я понимаю, что время токена контакта истекло.

И мне не нужно "рефрешить" токен, получается, мне надо "перенаправить" юзера на страницу авторизации, причем , на страницу авторизации контакта через OAUTH.

И потом вернуть пользователю тот ресурс, который он запрашивал.

С каждой соц. сетью - отдельные танцы??