我正在为一些AJAX请求开发MVC5应用程序WebAPI . 对于MVC部分,我使用标准cookie身份验证和基于令牌的WebAPI部分身份验证 . 我希望用户只使用MVC站点登录,不必再与授权服务器进行身份验证以获取访问令牌 .
在服务器端获取访问令牌是安全的,将它放在站点上的隐藏字段中并使用java脚本查询它并在以后用于web api请求时使用它?假设连接将通过HTTPS,出于明显的安全原因:)
您可以将安全令牌作为api的标头自定义属性传递给api,您可以预先检查它并将其缓存到api中的所有后续调用 .
1 回答
您可以将安全令牌作为api的标头自定义属性传递给api,您可以预先检查它并将其缓存到api中的所有后续调用 .