我目前使用 JwtBearer 作为身份验证方案,这意味着用户必须使用他们的用户名和密码登录并接收一个令牌来对他们进行一段时间的身份验证。
现在我需要从另一个系统向 API 发出请求,而不必每次不记名令牌用完时都需要登录。有没有办法在其他系统必须发出的每个请求中发送秘密通用令牌,以便不需要进行身份验证?
我尝试仅使用令牌设置另一个不记名登录,但这是一个愚蠢的想法,因为它仍然需要时不时地更新..有什么想法吗?
根据我的理解,对于受某些身份提供商保护的普通 Web api,您需要从身份提供商(如 Azure AD)获取令牌并使用该令牌访问该 Web api 进程。
令牌存储在该身份提供商 URL 的 cookie 中,然后我们可以使用该 cookie 值来获取它并使用它来访问所有 Web api 服务。
对于让用户输入用户名和密码的客户端,它可以接收身份提供商(AAD)服务器返回的令牌,并且客户端可以决定存储令牌或否则避免用户多次登录。
此存储令牌操作基于不同的客户端,不被身份提供商或 Web api 服务提供商考虑。
在我看来,您只需要确保所有 Web api 使用相同的 JWT 身份验证配置即可。关于如何存储token是客户端考虑的,通常情况下,这个token是存储在浏览器cookie中的。