我正在尝试使用MVC6中的控制器上的Authorize属性实现基于承载令牌的验证 .
我关注这篇文章:Token Based Authentication in ASP.NET Core
一个人把上面帖子中写的whatis放到:https://github.com/mrsheepuk/ASPNETSelfCreatedTokenAuthExample
基于这个例子 . 如果客户端向服务器发送请求以使用Authorize属性修饰的特定控制器,则Authorize属性将检查称为授权的请求头,如果此头将具有有效令牌,则请求将通过,否则请求将被拒绝(如果我错了请在此更正)
我想在这里做的是我想要不是在授权 Headers 中发送令牌,而是在cookie中从cookie获取该令牌并在仍然使用控制器上的授权属性时验证它 .
我应该怎么做,我正在寻找新的asp.net 5功能授权策略,但似乎他们没有我需要的东西 . 有没有办法做到这一点?
1 回答
您必须为此编写自己的身份验证中间件,这不是一个有趣的练习 .
您还必须考虑如何将令牌放入cookie中,以及如何正确保护该cookie . 在客户端代码可用的cookie中具有原始令牌,并且至少在签名时不是等待发生的安全漏洞 .