0

我试图找到为许多 ASP.NET MVC 操作实现基于令牌的身份验证的最简单方法。

Api 控制器位于 Web 应用程序旁边,因此我需要能够指定哪些操作/控制器受 Api 身份验证。

我已经有一个用于表单身份验证的成员资格提供程序,所以我想重用它来验证用户并构建返回的令牌。

我已经阅读了几篇关于实现 OAuth 的文章,但大多数看起来都非常复杂。我见过几个使用 API 密钥的示例,但我想请求一个令牌,然后将其作为参数传回,而不必作为 HTTP 标头中的值。

基本上流程需要是:

  1. 用户通过传入用户名和密码的身份验证操作请求令牌。
  2. 服务返回 enc 令牌
  3. 用户将 enc 令牌作为参数传递给 auth

完成此操作的典型方式是什么,客户端(例如 ajax 调用)是否需要计算用户名的哈希值/传入 1)?还是纯文本可以通过 TLS/SSL?

任何建议表示赞赏。

4

1 回答 1

0

你对你所描述的内容有什么担心?

你描述的过程似乎是可行的。通常,系统会在令牌的有效期内过期,之后他们需要获取新的令牌。不过,到期有很多变化(固定时间、滑动时间等)。

对于您关于用户名/密码的问题,客户端不应该对它们进行哈希处理。只需确保它们是通过安全方法 (SSL) 传输的。

于 2012-12-07T18:53:05.400 回答