SAlve,
ho sviluppato un servizio web api core 3 implementando jwt in bearer e database custom utenti. Domanda: come fare in modo che siano il website e l'app mobile creati adhoc ad essere autorizzati per l'accesso al servizio?
Per il website ho un dominio/ip da poter definire nella configurazione del servizio per poter wrappare il chiamante, ma per l'app mobile come poter intercettare che la chiamata provenga proprio da quella installata su un device terzo?
grazie

Grazie per la risposta ma come funziona JWT è chiaro. Io vorrei dare accesso solo a specifiche applicazioni, il sito web che ha un proprio dominio e/o ip esclusivo quindi semplice da intercettare. Ma come identifico una app mobile quando fa la chiamata al servizio? Come faccio a capire se è quella app a chiamare il servizio è non un’altra app?

---

Modificato da flaviovb il 07 aprile 2020 13:53 -

Mi spiego meglio
JWT lo uso da parecchio ed è ok
Il problema è che il servizio deve essere interrogato solo ed esclusivamente dal mio sito web e dalla mi app mobile
Quindi solo utilizzando il sito o la app si può interrogare il servizio
Visto che il web service è pubblico chiunque potrebbe conoscendo le action loggarsi con delle grant valide. Questo non deve accadere
Per poter interrogare il servizio mi ripeto o si passa per il sito web o tramite app mobile
Il web service può intercettare chi lo chiama quindi posso sapere se è il mio sito web dal dominio o dall’ip.
Se mi chiamo la app mobile come faccio a sapere che è quella a chiamare il servizio?

Il mio servizio web espone con swagger la propria struttura anche per possibili ragioni commerciali e non solo di test da parte mia, a prescindere da postman.
Detto questo chiunque accreditato nel sistema potrebbe quindi utilizzare questi metodi per interrogare il servizio.
In un prossimo o immediato futuro se applicassi una politica tale da autorizzare certi utenti a sfruttare il servizio web direttamente con la propria interfaccia proprietaria potrei allargare il mio business.
Controllare che un utente sia autorizzato a chiamare il mi web service con il mio sito web ok nessun problema, ma se volessi contabilizzare e tenere traccia di auali sono le app che l'utente utilizza per collegarsi al mio servizio web come lo faccio: Ad ese:
- l'utente di collega al servizio tramite il mi osito: nell'header della richiesta controllo chi mi chiama e risulta www.miosito.it
- l'utente utilizza la mia app scaricata dal market: come so che è la mia app che chiama il servizio?
- l'utente ha il priprio gestionale che la sua software house ha customizzato per chiamare il servizio: è u ngestione client/server desktop. Come traccio che sia questo a chiamare il servizio? Dare delle grant specifiche non servirebbe!
In sostanza come traccio cosa, lo strumento, che sta chiamando il mio web service? Se non tengo traccia di chi e in che modo mi chiama potrei ad esempio perdere soldi se su questo ho impostato la mia politica commerciale