Comment l'authentification fonctionne-t-elle avec ASP.NET (en utilisant l'ID en direct et l'authentification Windows)

Question

Je suis principalement un programmeur d'applications de bureau .NET. Faire entrer dans le monde du Web a été difficile. J'essaie de convertir l'une de mes applications Silverlight en HTML. Mais j'ai du mal à déterminer le système d'authentification. J'essaie de lire l'authentification en direct d'identification et l'authentification Windows, mais j'ai du mal à mettre tout cela dans ma tête. Peut-être pouvez-vous aider?

Mon cadre d'application

Mon application client est une page (ou pages) TypeScript (javascript). Et le serveur est une API REST des services de données WCF hébergée dans ASP.NET. Le service fonctionne avec une base de données SQL.

Les problèmes (revendications)

Quand je regarde quelque chose comme l'authentification en direct d'identification, il est appelé authentification basée sur les réclamations, non? Donc, si j'avais correctement mis en œuvre cette mise en œuvre, quelqu'un vient sur le site Web, je dois vérifier qu'il est connecté. Comment puis-je faire cela à partir d'une page HTML côté client? Ai-je une minuterie récurrente qui valide la connexion toutes les 30 secondes ou quelque chose? Ou est-ce fait côté serveur sur chaque appel au service?

Je sais que s'ils ne sont pas connectés, je dois les envoyer à la page de connexion en direct, une fois qu'ils se connectent, la page en direct les redirigera vers mon serveur avec le jeton d'autorisation dans la chaîne de requête (ou quelque chose comme ça) . À ce stade cependant, que dois-je faire 5 minutes plus tard lorsqu'ils passent un appel au service Web pour les données? Ce jeton est-il envoyé sur chaque appel au serveur un peu comment? Comment valider que lorsqu'ils appellent le service, c'est en fait eux? Dois-je envelopper chaque appel de service dans une méthode valideUser () ou quelque chose? J'ai un ID utilisateur dans la base de données que je devrais correspondre à leur jeton utilisateur d'une manière ou d'une autre.

Les problèmes (authentification Windows)

Le problème précédent existe toujours ici. Comment savoir que chaque appel du client est toujours lui? De plus, je dois comprendre ce que je fais du côté HTML au côté serveur pour les authentifier, puis continuer l'authentification.

Conclusion

Je ne trouve vraiment aucune sorte d'explication qui explique conceptuellement toutes ces informations et me donne la vue d'ensemble de la façon dont tout cela fonctionne. J'espère vraiment que quelqu'un ici pourra combler ces lacunes et me donner une meilleure idée de la façon d'implémenter l'authentification client et serveur.

Merci!

Mise à jour

J'ai trouvé un super livre qui explique vraiment beaucoup de cela. Il est intitulé "Un guide des allégations d'identité et de contrôle d'accès". Cela fait partie de la série Pattern & Practices.

Merci à tous pour vos réponses et mettez-moi sur la bonne voie.