我正在尝试使用MVC6中控制器上的Authorize属性实现基于承载令牌的验证。
我关注这篇文章: Token Based Authentication in ASP.NET Core
一个人把上面帖子中写的内容写到: https://github.com/mrsheepuk/ASPNETSelfCreatedTokenAuthExample
基于这个例子。如果客户端向服务器发送请求以使用Authorize属性修饰的特定控制器,则Authorize属性将检查称为授权的请求头,如果此头将具有有效令牌,则请求将通过,否则请求将被拒绝(如果我错了请在此更正)
我想在这里做的是我想要不是在授权标题中发送令牌,而是在cookie中从cookie获取该令牌并在仍然使用控制器上的授权属性时对其进行验证。
我该怎么做,我正在研究一个新的asp.net 5功能授权策略,但似乎它们没有我需要的东西。有没有办法做到这一点?
答案 0 :(得分:1)
您必须为此编写自己的身份验证中间件,这不是一个有趣的练习。
您还必须考虑如何将令牌放入Cookie,以及如何正确保护该Cookie。在客户端代码可用的cookie中具有原始令牌,并且至少在签名时是否存在等待发生的安全漏洞。