我一直在遵循此处列出的技术: http://blog.novanet.no/anti-forgery-tokens-using-mvc-web-api-and-angularjs/
场景: 我有一个MVC4应用程序使AngularJS ajax调用一个单独的MVC4 WebApi应用程序。这些应用程序是完全独立的,最终可能位于不同的Web服务器上。
我所看到的是,随着流程的进行,我可以在客户端(View)上生成令牌,然后我可以添加一个自定义头属性以与ajax请求一起发送。当请求到达WebApi时,我可以看到并解析出令牌,但是当我尝试验证它时,我收到此消息:
提供的防伪令牌适用于用户" me",但当前用户是""。
我想在我在View上生成令牌时,我正在构建一个依赖于当前经过身份验证的用户的令牌,以及发送给WebApi的内容。所以我的问题是:
当WebApi设计为灵活接受来自公共网站(匿名访问)的请求时,锁定WebApi的标准方法是什么?我是否需要构建自己的令牌机制,并在WebApi中验证?
提前致谢!