这是关于ASP.net MVC 4的问题 . 您可以全程采用SSL .
-
我有一个Web API,可以通过SSL使用HTTP Basic Auth为客户端提供 .
-
我在同一个域上也有一个CMS,它通过jQuery使用Web API .
-
用户通过Forms身份验证登录CMS .
出于这个原因,我希望可以使用HTTP Basic Auth或Forms auth登录Web API .
我计划使用自定义AuthorizeAttribute实现它,它将首先检查数据库的基本auth头(如果存在) . 如果基本的auth头不存在,那么它将委托授权给基础AuthorizeAttribute来处理Forms auth .
首先,这是一个好主意吗?任何人都可以看到允许任何类型的身份验证的任何问题?谁能看到任何实施问题?
1 回答
是的,这似乎是一个好主意,我认为实现两种类型的身份验证机制没有任何问题:
对已在同一域上进行身份验证的用户进行表单身份验证
对尚未通过身份验证但拥有用户名和密码并希望直接调用Web API某些方法的用户的基本身份验证