2

我一直在阅读有关保护 WebAPI 主题的不同文章,包括:

最低特权文章

凯文·荣汉斯的文章

彼得瓦拉特的文章

和许多其他人。

我想使用 MVC 4.NET SPA 模板(带有 Backbone.js 或另一个 JS lib),并且我想通过基本的 http 身份验证来保护 SPA 使用的 WebAPI,在标头中使用令牌,因为一些 WebAPI 客户端将不支持表单身份验证所需的 cookie。

SPA 模板使用 SimpleMembership 和 oauth,我想将其与基本的 http 身份验证结合使用。

我不清楚的是开箱即​​用的 SPA 模板是否使用基本的 HTTP 身份验证和令牌对 WebAPI 进行身份验证和授权,还是我必须按照上面的链接将其拼凑起来?

4

1 回答 1

0

这是一个相当大的话题,最好在插入模板之前完全理解它。

这是一个很棒的视频,可以帮助您将所有内容都到位:https ://vimeo.com/43603474

您必须使用 SSL 进行任何基于令牌的身份验证(如 oAuth)

一旦用户通过身份验证 - 通过 oAuth 或您自己的成员资格提供程序,您可以简单地将任何 Web Api 方法与 [Authorize] 一起使用,以确保未经身份验证的用户无法调用这些方法(将返回 401 - 如果没有,则未授权认证)

于 2013-05-20T07:07:46.573 回答