标签: c# asp.net-mvc-4 asp.net-web-api owin katana
当我调用OWIN /token端点时,我在响应中获得了持有者令牌,并且有一个带有令牌的set-cookie头。这些代币是否相同?如果不是我如何使它们相同?
/token
答案 0 :(得分:2)
不是它们不相同,您收到的令牌是访问受保护API(带有[Authorize]的API属性)所需的访问令牌,并包含您要在其中编码的所有声明。
[Authorize]
当你调用/ token结束点时,我没有看到返回的令牌内部cookie。无论如何,你通常依靠代币或cookie来保证安全,而不是两者兼而有之。