在单个应用程序中进行用户和员工身份验证的最佳方式是什么？

Question

我的网站需要认证网站的用户和网站的工作人员，这就像管理员，分别。

我想我的网站的用户谁是loggedIn，并已与索赔认证，不能访问我的管理员的客户关系管理。

对于这种情况，最好的方法是什么？

Answer 1

如果我没理解错的话，您希望管理员和用户身份验证使用不同的端点。

假设api/admin/login是给管理员用的。您可以在对用户进行身份验证之前，即在检查用户是否提供了正确的登录凭据之前，检查用户是否具有管理员角色。

public async Task AdminLogin(string email) 
{
    var user = _userManager.GetUserByEmail(email);
    if (!_userManager.IsUserInRole(user, "admin"))
    {
          return StatusCode("403");
    } 
   ... If successful, authenticate user credentials here
} 

您可以对用户登录端点执行相同的操作。