通过ASP访问的Web API服务层进行身份验证和授权.NET网络应用程序和iOS移动应用程序
本文关键字:应用程序 授权 身份验证 NET 网络 移动 iOS 访问 ASP Web API | 更新日期: 2023-09-27 17:59:54
我即将开始开发一个新的ASP。NET MVC web应用程序,我也打算构建一个iOS移动版。
我计划使用MVC 4 Web API作为一个服务层,它将位于业务层的前面,并且可以被Web应用程序和移动应用程序访问。
然而,我对如何在这个体系结构中实现身份验证和授权有点困惑。
通常在MVC应用程序中,一旦用户提交了正确的凭据,我就会调用
FormsAuthentication.SetAuthCookie(username, false);
它将创建一个cookie,然后从一个请求来回传递到另一个请求,以在应用程序中维护用户的会话。
当从web应用程序访问时,我很困惑这将如何通过服务层发挥作用。或者当从移动应用程序调用服务时,它将如何工作。
您可以设计Web API,使其要求在每次请求时发送表单身份验证cookie。然后,您将使用此cookie从中提取当前已验证用户的用户名。
但在设计API时,通常最好使用其他验证方式,而不是cookie。例如,您可以使用Authorization HTTP标头,其中要求客户端发送表单身份验证票证的加密值。
您还可以查看关于基于令牌的安全性的following article。