在ASP.NET WebAPI中检索承载令牌

如果您只有一个客户端可以与您的API对话，我不建议使用这种方法，我的理解是，您需要发布一个非常长期的访问令牌，可能需要一年，并继续使用此令牌访问后端API，对吗？如果这个代币被盗，你会怎么办？你不能撤销访问令牌，所以它在某种程度上就像你的主密钥（密码）。我的建议是使用OAuth刷新令牌和访问令牌。这取决于你的客户类型，你可以在这里查看是如何做到的http://bitoftech.net/2014/07/16/enable-oauth-refresh-tokens-angularjs-app-using-asp-net-web-api-2-owin/刷新令牌可以被撤销，并且它们可能在很长一段时间后过期。如果您需要进一步的细节来实现这一点，请告诉我。

创建一个自定义身份验证属性并为用户存储令牌哈希。一个用户可以有多个令牌。然后，您可以让用户做他想做的事-当密码更改时注销所有其他会话，或者选择性地删除会话

  public class CustomAuthAttribute : System.Web.Http.AuthorizeAttribute
    {
        protected override bool IsAuthorized(HttpActionContext context)
        {
            var accessToken = HttpContext.Current.Request.Headers["Authorization"];
            var hash = accessToken.Md5();
            //store the hash for that user 
            //check if the hash is created before the password change or its session was removed by the user
            //store IP address and user agent 
            var isBlackListed = ...
            .....
            return !isBlackListed && base.IsAuthorized(context);
        }
    }

如果您需要在WebAPI Controller函数中解码令牌，我发现这很有效：

String token = Request.Headers.Authorization.Parameter;
Microsoft.Owin.Security.AuthenticationTicket t = Startup.OAuthOptions.AccessTokenFormat.Unprotect(token);