我正在构建一个拥有API服务的网站,这些服务使客户端用来获取和提交数据。我使用ASP.NET MVC6和EF7构建它。
该服务仍处于原型设计阶段,但我目前正在使用控制器类和方法的[Authorize]属性以及MVC6模板中的默认用户管理器(ASP.NET Identity?)。它对于网站本身非常有效,并且为了原型和测试的目的,我只是将[AllowAnonymous]属性放在我需要从未经授权的机器上访问的API方法上。
但是,我想我需要基本上将会话令牌传递给这些哑客户端,这些客户端只能持续x小时,可以用来提交GET和POST个请求他们可以预先授权,而无需传递一些主用户/通行证。
注意:我对MVC6很新,并且不完全了解如何处理ASP.NET / MVC安全性。