我目前有一个 Web api 2 项目作为我的应用程序中间层。 我需要保护这个项目,并为我的 MVC 项目以及可能的 iOS 和 Android 应用程序提供身份验证服务。
Web api 业务逻辑需要检查用户权限/角色以确保安全性,mvc 项目在功能上需要相同的操作以确保对控制器的请求有效。 如何使用 Asp.net 身份或其他方式执行此操作? 这种事情有参考项目吗?
这里有一些好信息:http://www.asp.net/web-api/overview/security/authentication-filters
我看到的另一种方法是有一个单独的 API 来使用您想要使用的任何凭据为"交易"生成访问令牌......但通常通过HTTPS完成! 然后,客户端将此令牌作为参数传递给业务层 API。可以对令牌进行各种检查,例如请求令牌的同一客户端?令牌已过期?令牌已使用?等
让我知道你过得怎么样。
谢谢。
更新
使用本地帐户的 Web API 安全性:http://www.asp.net/web-api/overview/security/individual-accounts-in-web-api