是OWIN Cookie&承载代币一样吗?

时间:2014-12-05 14:52:14

标签: c# asp.net-mvc-4 asp.net-web-api owin katana

当我调用OWIN /token端点时,我在响应中获得了持有者令牌,并且有一个带有令牌的set-cookie头。这些代币是否相同?如果不是我如何使它们相同?

1 个答案:

答案 0 :(得分:2)

不是它们不相同,您收到的令牌是访问受保护API(带有[Authorize]的API属性)所需的访问令牌,并包含您要在其中编码的所有声明。

当你调用/ token结束点时,我没有看到返回的令牌内部cookie。无论如何,你通常依靠代币或cookie来保证安全,而不是两者兼而有之。