我需要能够为与ASP.NET WebAPI REST服务通信的移动应用程序提供持久登录会话。
目前,连接是通过SSL连接的,用户凭据将传递给WebAPI进行身份验证。然后,服务器使用Api令牌进行响应,该令牌用于会话期间。
一切正常,但我需要为用户提供能够点击登录屏幕上的“保持登录状态”复选框的功能。
我最初的想法是简单地将Api密钥存储在本地存储中,当返回到站点时,查找本地存储中的Api密钥并恢复与服务器的通信。只有在退出或取消选中“保持登录状态”复选框时才会清除它。
这有多安全?实现这种系统的推荐方法是什么?
答案 0 :(得分:0)
我为web api做了会话令牌实现。博客文章说“实验性” - 但是很多人都在使用这个并且没有问题,所以也许值得一试。
http://leastprivilege.com/2012/06/19/session-token-support-for-asp-net-web-api/