我的Web Api站点有一个AccountController,它使用登录的默认实现:
// POST: /Account/Login
[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)
{
if (!ModelState.IsValid)
{
return View(model);
}
// This doesn't count login failures towards account lockout
// To enable password failures to trigger account lockout, change to shouldLockout: true
var result = await SignInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, shouldLockout: false);
switch (result)
{
case SignInStatus.Success:
return RedirectToLocal(returnUrl);
case SignInStatus.LockedOut:
return View("Lockout");
case SignInStatus.RequiresVerification:
return RedirectToAction("SendCode", new { ReturnUrl = returnUrl, RememberMe = model.RememberMe });
case SignInStatus.Failure:
default:
ModelState.AddModelError("", "Invalid login attempt.");
return View(model);
}
}
这适用于网络,但如果我使用UWP或Xamarin这样的客户端应用,如果我想在不使用WebView的情况下登录,这就成了问题因为它看起来Web Api与网络相关联,因为它依赖于在视图中生成的anti-forgery令牌并在提交时发回。让我们说我希望该客户端应用程序只使用文本框和提交按钮进行登录,就像我看到的大多数移动应用程序一样。他们通常不会弹出WebView。
唯一的解决方案是创建另一种在没有防伪令牌的情况下登录用户的方法吗?这似乎有点混乱,并没有很好地遵循DRY原则,更不用说潜在的安全风险了。
答案 0 :(得分:1)
答案是通过对/ Token端点进行POST并覆盖ApplicationOAuthProvider以允许客户端访问来完全绕过防伪令牌。有关详细信息,请参阅此stackexchange: