我的Web Api站点有一个帐户控制器,它使用登录的默认实现:
// POST: /Account/Login
[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)
{
if (!ModelState.IsValid)
{
return View(model);
}
// This doesn't count login failures towards account lockout
// To enable password failures to trigger account lockout, change to shouldLockout: true
var result = await SignInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, shouldLockout: false);
switch (result)
{
case SignInStatus.Success:
return RedirectToLocal(returnUrl);
case SignInStatus.LockedOut:
return View("Lockout");
case SignInStatus.RequiresVerification:
return RedirectToAction("SendCode", new { ReturnUrl = returnUrl, RememberMe = model.RememberMe });
case SignInStatus.Failure:
default:
ModelState.AddModelError("", "Invalid login attempt.");
return View(model);
}
}
这适用于 Web,但是如果我使用的是像 UWP 或 Xamarin 这样的客户端应用程序,那么如果我想在不使用WebView的情况下登录,这将成为一个问题,因为它看起来Web Api与 Web 耦合,因为它依赖于在视图中生成并在提交时回发的anti-forgery令牌。假设我希望客户端应用程序仅使用文本框和提交按钮进行登录,就像我看到的大多数移动应用程序一样。他们通常不会弹出WebView.
创建另一种在没有防伪令牌的情况下登录用户的方法是唯一的解决方案吗?这似乎有点混乱,并且不能很好地遵循 DRY 原则,更不用说潜在的安全风险了。
答案是通过向/Token 端点发出 POST 并重写 ApplicationOAuthProvider 以允许客户端访问来完全绕过防伪令牌。有关详细信息,请参阅此堆栈交换:
WebAPI [授权] 登录时返回错误