我正在尝试为许多ASP.NET MVC操作找到实现基于令牌的身份验证的最简单方法。
Api控制器位于web应用程序旁边,因此我需要能够指定哪些操作/控制器需要接受Api身份验证。
我已经有一个用于表单身份验证的成员资格提供程序,所以我想重用它来验证用户并构建返回的令牌。
我读过几篇关于实现OAuth的文章,但大多数似乎都很复杂。我看到了几个使用API密钥的例子,但我想请求一个令牌,然后将其作为参数传递回来,而不一定是HTTP头中的值。
本质上,流程需要:
- 用户从传递用户名和密码
- 服务返回enc令牌
- 用户将enc令牌作为参数传递给将来的调用以进行身份验证
典型的方法是什么?客户端(比如ajax调用)是否需要在1)中计算用户名/密码的哈希?还是通过TLS/SSL的纯文本?
如有任何建议,不胜感激。
您对所描述的内容关心什么?
你所描述的过程似乎是可行的。通常,系统会有一个令牌有效期的到期日,之后他们需要获得一个新的令牌。到期有很多变化(固定时间、滑动时间等)
对于你关于用户名/密码的问题,客户端不应该对它们进行散列。只需确保它们是通过安全方法(SSL)传输的。