我有一个Web Api应用程序与身份2安全。我可以登录并获得带有承载令牌的响应,如
{"access_token":"wiYvAyIgGggCmBBR36VwWZ[more...]",
"token_type":"bearer","expires_in":1209599,
"userName":"Ezeqiel",".issued":"Fri, 02 May 2014 15:23:27 GMT",
".expires":"Fri, 16 May 2014 15:23:27 GMT" }
问题是如何将这个令牌发送到未来的请求,以及如何在用户未经过身份验证时重定向到登录页面。
这取决于客户端的类型。
如果是一个asp.net类型的服务器端,你可以把它放在session/cache/httpcontext中,并在httpclient中发送每个请求。
using (var apiClient = new HttpClient { BaseAddress = new Uri("http://localhost:54744/") })
{
var results = apiClient.PostAsJsonAsync("api/Authenticate/Token", loginModel).Result;
string token = results.Content.ReadAsAsync<string>().Result;
apiClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", token);
}
如果它是一个javascript spa类型的应用程序,那么在你从javascript的登录请求中,你从服务器返回那个令牌,你把它保存在存储或一个变量中,并在每个ajax请求中使用它。
角是这样的
config.headers.Authorization = 'Bearer ' + $window.sessionStorage.token;
ajax看起来像这样
beforeSend: function (xhr) {
xhr.setRequestHeader("Authorization", "Bearer $token")
}