我有一个Intranet站点,在我的组织内部本地托管。同一站点还通过各种Web服务公开了一些数据。它是使用ASP.NET MVC 5和WebAPI 2编写的,它是.NET 4.5,而不是Core。
目前,用户可以使用Windows身份验证登录网站,并且在通过身份验证后,便可以访问API。但是,我还需要允许使用令牌访问API,以便可以由自动化流程查询它们,因此,我创建了一个页面,经过身份验证的用户可以访问该页面并请求令牌。
我打算将此令牌用作承载令牌,包括在对Web API的HTTP请求的标头中,以允许访问这些API。据我了解,无记名令牌本质上表示用户访问数据的权利,不需要任何其他信息(甚至用户名)。
但是,我一直在努力寻找用于认证和授权请求的完整的端到端教程。这个站点和Microsoft的aritcle上有一些问题,可以提供一些很好的指示,但是我觉得它们可能暗示着某些事情对于我的要求来说太复杂了。我不需要返回任何带有声明的身份或类似的身份,并且我完全不关心OAuth。
我使用的是Microsoft的Web API框架,因此合理地假设做提取和检查请求标头中的令牌之类的基本操作应该相当简单!
有人能够概述我需要在应用程序中放置的组件和过程,以使其能够从HTTP请求中提取Bearer令牌,使用我自己的代码检查其有效性,然后支持Authorize属性是否在Web API方法上有效,如果令牌有效?
我有一个Intranet站点,在我的组织内部本地托管。同一站点还通过各种Web服务公开了一些数据。它是使用ASP.NET MVC 5和WebAPI 2编写的,它是.NET 4.5,不是...
看起来我们有相同的需求,我也只需要快速进行承载令牌验证就不会使API完全开放。