我正在搜索给定Internet应用程序场景中的身份验证最佳实践。
我有一个ASP MVC 4网页和一个ASP4 WebApi。
两者都托管在同一服务器上,但作为独立的应用程序。ASP MVC4应用程序通过RestSharp消耗WebApi。此外,还计划了一些第三方桌面工具,这些工具将使用web api。
现在我正在考虑如何对用户进行身份验证。
我的想法是对ASP MVC 4网站使用表单身份验证,对WebApi使用基本身份验证。
这是个好主意吗?
或者我应该为webapi使用基于令牌的方法吗?
这种情况下的最佳实践/关注点是什么?
提前感谢
查看IdentityModel 4.0。
这是由安全专家编写的用于ASP.NET Web API的安全框架。