我有一个内部网站点,在我的组织内本地托管 . 同一站点还通过各种Web服务公开一些数据 . 它是使用ASP.NET MVC 5和WebAPI 2编写的,它是.NET 4.5,而不是Core .
目前,用户可以使用Windows身份验证登录网站,一旦通过身份验证,他们就可以访问API . 但是,我还需要允许使用令牌访问API,以便可以通过自动化进程查询它们,因此我创建了一个页面,经过身份验证的用户可以访问并请求令牌 .
我的意图是,此令牌可以用作承载令牌,包含在对Web API的HTTP请求的标头中,以允许访问API . 据我所知,Bearer令牌本质上代表用户访问数据的权利,不需要任何其他信息(甚至是用户名) .
但是,我一直在努力寻找一个完整的端到端教程来验证和授权请求 . 在这个网站上有一些问题和微软的aritcles提供了一些很好的指示,但我觉得他们可能暗示一些对我的要求太复杂的东西 . 我不需要返回任何形式的声明或类似的东西,我根本不关心OAuth .
我正在使用Microsoft的Web API框架,因此似乎可以合理地假设做一些基本的提取并从请求头检查令牌应该相当简单!
有人能够概述我需要在我的应用程序中放置的组件和过程,以允许它从HTTP请求中提取Bearer令牌,使用我自己的代码检查其有效性,然后支持Web API上的 Authorize 属性令牌有效的方法?