我有一个启用了身份验证的Web API(承载令牌) . 这是由客户端应用程序调用的,我想保护它免受匿名使用,因此我想创建一个单独的用户并为其创建一个承载令牌 .
我可以通过调用寄存器和令牌方法来创建令牌,但我想从代码中执行此操作 .
据我所知,承载令牌未存储在数据库中 . 可以使用ASP.NET Identity API以某种方式检索它吗?
我还想从代码创建这个用户并保存令牌,因为我需要将数据库部署到多个服务器 .
如果您只有一个客户端可以与您的API通信,我不建议采用这种方法,我的理解是您需要发布非常长期存取的令牌,可能需要一年时间并继续使用此令牌来访问后端API , 对?如果此令牌被盗,您会怎么做?您无法撤消访问令牌,因此它有点像您的主密钥(密码) . 我的建议是使用OAuth刷新令牌以及访问令牌 . 这取决于您的客户端类型,您可以在此查看如何完成此操作http://bitoftech.net/2014/07/16/enable-oauth-refresh-tokens-angularjs-app-using-asp-net-web-api-2-owin/刷新令牌可以被撤销,并且可以在很长时间后过期 . 如果您需要进一步的细节来实现这一点,请告诉我 .
1 回答
如果您只有一个客户端可以与您的API通信,我不建议采用这种方法,我的理解是您需要发布非常长期存取的令牌,可能需要一年时间并继续使用此令牌来访问后端API , 对?如果此令牌被盗,您会怎么做?您无法撤消访问令牌,因此它有点像您的主密钥(密码) . 我的建议是使用OAuth刷新令牌以及访问令牌 . 这取决于您的客户端类型,您可以在此查看如何完成此操作http://bitoftech.net/2014/07/16/enable-oauth-refresh-tokens-angularjs-app-using-asp-net-web-api-2-owin/刷新令牌可以被撤销,并且可以在很长时间后过期 . 如果您需要进一步的细节来实现这一点,请告诉我 .