我目前正在开展一个由两部分组成的项目:
www.domain.com
这是一个使用Owin.Security认证的MVC 5网站
api.domain.com
这是一个WebAPI项目,包含仅供内部使用的API。
我需要做的是在两个站点之间设置单点登录,以便当用户登录MVC站点时,他将能够针对标有[授权]的WebAPI方法进行身份验证请求。
我已使用相同的MachineKey设置两个产品:
在MVC网站上,我在启动时注册了以下内容:
app.UseCookieAuthentication(new CookieAuthenticationOptions
{
AuthenticationType = "ApplicationCookie",
LoginPath = new PathString("/Login"),
CookieDomain = ".domain.com"
});
然而它并没有奏效。我可以在网站上对用户进行正确的身份验证 - 但是当我向API发出请求时,我得到了401(未经授权)。
你们中的任何人能否帮助我解决我失踪的问题?
我看过这篇文章: https://msdn.microsoft.com/en-us/library/eb0zx8fc(v=vs.100).aspx
但由于我没有使用表单身份验证,我不确定它对我有什么好处:(
我想我只是错过了一件小小的必备品 - 但我现在还不能找到它:)
我现在可以通过合并我的网络API项目(以便我在MVC网站中拥有我的API控制器)轻松解决这个问题 - 但我真的想避免这种情况并让它们在不同的子域上运行。
谢谢。
答案 0 :(得分:0)
我终于找到了答案 - 就像所有伟大的答案一样,这是一个简单的答案。 我的设置中的所有内容都像魅力一样 - 但在WebApiConfig.cs文件中有一个令人讨厌的小线:
config.SuppressDefaultHostAuthentication();
这告诉WebAPI仅使用承载令牌身份验证。 删除这一行解决了我所有的问题,并使我的一天:)