我有一个带有WebAPI的单页面应用程序(SPA),用于身份验证/授权我在客户端上使用OpenId Connect,特别是IdentityServer3和OidcTokenManager。
因此,我的SPA通过在Authorization标头中传递对WebAPI的所有请求的访问/承载令牌来与服务器进行协商。
即。授权:持票人ACCESSTOKENGOESHERE
应用程序还会将WebAPI中的文件嵌入到页面中。主要是svg,pdf' s等。为此,我使用了一个对象标签。这不起作用,因为WebAPI要求授权标头中的Bearer令牌授权请求。无论如何,当对象标记加载文件时,我无法将持有者令牌作为请求标头传递。
当对象标记请求文件时,是否有人知道如何传递授权标头?
答案 0 :(得分:2)
在这种情况下,将访问令牌作为URL查询参数提供是有意义的,这是以下列出的受支持方法之一:https://tools.ietf.org/html/rfc6750#section-2这假设请求通过安全HTTP来防止令牌泄漏,资源服务器支持在查询参数中使用令牌。
答案 1 :(得分:0)
感谢指针Hans Z.真的很有帮助。 根据OAuthBearerAuthenticationProvider,这非常简单 http://leastprivilege.com/2013/10/31/retrieving-bearer-tokens-from-alternative-locations-in-katanaowin/