使用Asp.net Webapi进行身份验证和基于角色的授权

时间:2012-09-21 14:38:04

标签: authentication authorization asp.net-web-api

我正在我们的Webapi中实现身份验证/授权。目前正在进行基本的http身份验证 当然只是认证。

我们必须实施基于角色的授权。这样做的最佳做法是什么。

我正在考虑根据身份验证生成令牌并且想知道 如果在令牌中有任何信息可以告诉我有关用户,其角色,有效期等的信息。 每个请求都会来回传递此令牌。

如何检查此令牌的到期时间并提取信息。 我想不要将它存储在db中,以便为每个请求再次查询数据库以查看它是否已过期。 什么是正确的方法。

我愿意接受建议,并希望了解与此相关的内容。

我正在考虑设计我们的控制器,使得REST网址对我们服务的消费者是透明的。 在Controller / HttpHandler中,我们能够确定该id所属的角色并相应地提供数据。

请建议

0 个答案:

没有答案