我试图找到为许多ASP.NET MVC操作实现基于令牌的身份验证的最简单方法。
Api控制器与Web应用程序并列,因此我需要能够指定哪些操作/控制器受Api身份验证。
我已经有一个用于表单身份验证的成员资格提供程序,因此我想重复使用它来验证用户并构建返回的令牌。
我已经阅读了几篇关于实施OAuth的文章,但大多数文章看起来非常复杂。我已经看到了几个使用API密钥的示例,但我想请求一个令牌,然后将其作为参数传回,而不一定是HTTP头中的值。
基本上需要的过程是:
这种做法的典型方式是,客户端(比如ajax调用)是否需要计算用户名/传递的哈希1)?或者纯文本可以通过TLS / SSL吗?
任何建议表示赞赏。
答案 0 :(得分:0)
您对所描述的内容有何疑虑?
您描述的过程似乎可行。通常,系统将使令牌有效期到期,之后他们需要获得新令牌。虽然到期有许多变化(固定时间,滑动时间等)。
关于用户名/密码的问题,客户端不应该对它们进行哈希处理。只需确保它们通过安全方法(SSL)传输。