我正在使用带有自定义令牌的身份验证的 ASP.NET Web API 构建 RESTful 服务。客户端将在第一次调用时发送凭据。该服务将使用用户详细信息创建一个加密令牌,并且该令牌将从此时开始用于身份验证。现在服务需要将此令牌发送回客户端。最初,我将令牌保存在 HTTP 自定义响应标头中,以便客户端可以独立于服务返回的数据读取值。当客户端和服务在同一个域中时,这很有效,但在跨域场景中失败了。我已启用 CORS 并添加了各种标头,例如“Access-Control-Expose-Headers”、“Access-Control-Allow-Origin: *”等。但跨域客户端无法读取自定义响应标头我创建的是“
在这种情况下,我有几个问题:
发送自定义安全令牌的最佳位置是什么?它是在响应标头中还是作为 ViewModel/data 类的基类中的公共属性?
是否有标准的 HTTP 响应标头可用于发送令牌和自定义信息,以便跨域客户端也可以读取它?
任何帮助将不胜感激!谢谢!