我目前有一个ASP.NET MVC和ASP.NET WEB API 2项目(两种类型的控制器都包含在同一个项目中)。
我想确保用户无法直接调用Web Api并获取原始数据(例如http://domain/api/myaction)。但是,Api方法应该具有通过AJAX由jquery调用的能力,并且MVC控制器动作也应该能够调用Web Api动作(在初始View应该使用来自API的一些数据进行渲染的情况下)
做这样的事情的最佳方法是什么,或者我是以错误的方式看待这个?
答案 0 :(得分:2)
Ajax通话和"直接"之间没有区别呼叫。 在动作控制器的任何情况下,您应该做的是通过令牌或您已建立的任何身份验证方法验证请求。
如果您使用的是Microsoft身份验证,则只需在控制器/操作上方添加[Authorize]标记。
https://msdn.microsoft.com/en-us/library/system.web.mvc.authorizeattribute(v=vs.118).aspx