0

这是一个关于 ASP.net MVC 4 的问题。您可以自始至终假设 SSL。

  • 我有一个 Web API,它可以通过 SSL 使用 HTTP Basic Auth 提供给客户端。
  • 我在同一个域上也有一个 CMS,它通过 jQuery 使用 Web API。
  • 用户通过 Forms auth 登录 CMS。

出于这个原因,我希望可以使用 HTTP Basic Auth 或 Forms auth 登录到 Web API

我计划使用自定义 AuthorizeAttribute 来实现这一点,它将首先根据数据库检查基本身份验证标头(如果存在)。如果基本身份验证标头不存在,则它将授权委托给基础 AuthorizeAttribute 以处理表单身份验证。

首先,这是个好主意吗?任何人都可以看到允许任何一种身份验证的任何问题吗?任何人都可以看到任何实施问题吗?

4

1 回答 1

1

首先,这是个好主意吗?

是的,这似乎是个好主意,我认为实现 2 种身份验证机制没有任何问题:

  • 已在同一域上进行身份验证的用户的表单身份验证
  • 尚未经过身份验证但拥有用户名和密码并希望直接调用 Web API 的某些方法的用户的基本身份验证
于 2012-09-26T07:56:21.450 回答