我有一个项目,它既有带有视图的常规MVC控制器,也有Web API。我已经实现了表单身份验证。这既保护了我的 Web API 又保护了我的 MVC 控制器。但是,由于移动浏览器不支持cookie,因此我正在寻找实现基于令牌的替代身份验证。以下问题
1) 有没有办法对 Web API 和常规 MVC 控制器使用基于令牌的身份验证?
2)有没有办法由浏览器自动传递持有者令牌,而不是手动将其放在请求标头中?
3) 如何在持有者令牌中包含授权信息?
回答您的问题
1)您正在寻找一个混合流,它允许多用户客户端作为MVC和移动客户端获取和使用令牌,据我所知,刷新令牌只能从MVC客户端获得。
2) 您可以使用身份服务器通过授权令牌发送,或者使用下面的链接,在发送令牌时插入授权信息(基于角色)。
请查看以下教程,它将帮助您满足大部分需求 http://bitoftech.net/2015/01/21/asp-net-identity-2-with-asp-net-web-api-2-accounts-management/