我正在开发一个适用于Web API和asp.net MVC的应用程序。 Web API与存储库通信并负责身份验证。 MVC应用程序又是客户端的端点。我正在使用基于令牌的身份验证。为了缩短很多东西,客户使用ajax直接从web api获取访问权限。这是解决这个问题的正确方法吗?
此外,我希望用户直接登录应用程序,就像执行“记住”复选框一样。我正在考虑将访问令牌存储在cookie中以保留它。这是明智之举吗?如果没有,还有哪些其他选择?
我一直在网上搜索一段时间。我主要担心的是Cross Site Request Forgery(CSRF)。任何输入和所有意见将不胜感激。