我有一个(外部)mvc5应用程序使用的API(.net web api 2)。 API实现了一个简单的授权服务器,用于向消费者发放令牌(该实现遵循thinktecture identitymodel samples给出的示例)。
API(以及其他)GUI用户(mvc5应用程序)必须使用该API才能登录以获得对应用程序的访问权限。登录时,应用程序向API发出http请求,在正确凭据的情况下返回访问令牌。我应该在哪里保存此令牌(以便用户在更改页面时不必再次登录),是应该将其存储在cookie还是会话中,还是作为表单身份验证的声明?