我有一个MVC / Angular应用程序,它实现基于cookie的身份验证,以便有一个机制来授权/验证用户,无论控制器操作是返回MVC页面还是Json结果。为简单起见,我的web api项目是Web解决方案的一部分,因此可以一次性轻松部署它们。
现在我有一个供应商想要制作json或可能的xml数据请求。
我正在使用WebApi 2和MVC 5
所以我需要创建另一个API。我的要求是
- 在网站内托管Api以便于部署
- 使用承载令牌保护Api
- 不做任何其他代码更改
我无法抑制API请求的cookie,因为我需要对每个回调进行更改(客户端脚本不是非常集中......我们在构建站点时学习Angular)
由于此供应商仅请求数据,因此我可以绕过使用Authorize属性并为仅供应商Api调用创建从AuthorizationFilterAttribute派生的自定义属性。我还有一个从OAuthAuthorizationServerProvider派生的简单授权服务器提供程序。
我可以创建一个令牌并将其作为auth头中的承载令牌发送回我的自定义过滤器,没有任何问题。我现在的问题是什么?我是否需要创建从OAuthAuthorizationServerProvider派生的我的类的每个请求实例,并在该类上调用覆盖进行身份验证? (我正在使用StructureMap)
还是有另一种方式,我只是缺少。我可以找到一百万个创建过滤器来处理基本身份验证的例子,但到目前为止我发现的所有持有人都使用katana管道来验证持有者令牌