ASP.NET MVC和WebAPI之间的身份验证

我正在为一些AJAX请求开发MVC5应用程序WebAPI . 对于MVC部分,我使用标准cookie身份验证和基于令牌的WebAPI部分身份验证 . 我希望用户只使用MVC站点登录,不必再与授权服务器进行身份验证以获取访问令牌 .

在服务器端获取访问令牌是安全的,将它放在站点上的隐藏字段中并使用java脚本查询它并在以后用于web api请求时使用它?假设连接将通过HTTPS,出于明显的安全原因:)

回答(1)

3 years ago

您可以将安全令牌作为api的标头自定义属性传递给api,您可以预先检查它并将其缓存到api中的所有后续调用 .