我可能会疯了......我有Nancy.StatelessAuth Owin中间件用于验证跨域ajax请求的Authorization标头中的JWT。
但在我到达那里之前,我想向本地登录的用户展示一些简单的网页,如果可能的话,重用相同的授权管道。
我有一个返回JWT cookie的登录页面,正如Stormpath所推荐的那样。对于ajax,我可以轻松地在javascript中设置Authorization标头,从cookie中提取值。但对于常规网页,我希望StatelessAuth中间件从cookie中提取令牌。这合理吗?我是否需要在StatelessAuth上游编写一个中间件来从cookie中提取令牌并将其放在标题中,如this thing对查询字符串所做的那样?
答案 0 :(得分:0)
暂时好,this seems to be a much more reasonable approach。我会为本地登录的用户访问页面提供cookie中间件,使用jwt中间件进行跨域服务,然后使用一个后台来锁定无cookie且无令牌且不列入白名单的请求。