我可以从服务器端的承载令牌中检索userinfo - web api 2吗?

时间:2015-03-22 16:32:07

标签: asp.net-mvc asp.net-web-api token

这是我的场景:我有一个MVC Web应用程序和Web API。 Web应用程序调用web api以保存/从服务器检索数据。

让我们说这是一个问答网站。现在我有一个API,如果我提供用户名,密码,它会给我userid。但是网站中还有其他区域,并且很容易检索其他用户的用户ID。我将userid保留在会话存储中,并在POST对象中将其发送到需要的地方。现在,任何用户都可以在会话存储中调整该用户ID,并且他们可以代表其他用户发布问题/答案。

我怎么能阻止这个?我正在思考但不确定这是否是可行解决方案的一种方法 - 我们可以从服务器端提供的承载令牌中检索用户ID吗?

1 个答案:

答案 0 :(得分:12)

当您使用资源所有者凭据流在Web API中建立基于令牌的身份验证时,以及使用[Authorize]将受保护的控制器归属时,您确实可以执行此操作。您将发送到此受保护端点的有效承载令牌将创建用户存储在其中的ClaimsPrincipal主体(身份)对象,您可以获得如下的用户名:

[RoutePrefix("api/Orders")]
public class OrdersController : ApiController
{
    [Authorize]
    [Route("")]
    public IHttpActionResult Get()
    {
        ClaimsPrincipal principal = Request.GetRequestContext().Principal as ClaimsPrincipal;

        var Name = ClaimsPrincipal.Current.Identity.Name;
        var Name1 = User.Identity.Name;

        return Ok();
    }

}

有关此问题的详细信息,您可以阅读我关于此topic here的详细信息。