我正在为一些AJAX请求开发MVC5应用程序+ WebAPI。对于MVC部分,我使用标准cookie身份验证和基于令牌的WebAPI部分身份验证。 我希望用户只使用MVC站点登录,不必再与授权服务器进行身份验证以获取访问令牌。
在服务器端获取访问令牌是否安全,将其放在站点上的隐藏字段中并使用java脚本进行查询并稍后将其用于Web api请求?假设连接将通过HTTPS,出于明显的安全原因:)
答案 0 :(得分:0)
您可以将安全令牌作为api的标头自定义属性传递给api,您可以预先检查并将其缓存到api中的所有后续调用。