基于OWIN WebAPI cookie的身份验证

时间:2016-06-22 08:05:40

标签: .net security cookies oauth owin

流程:隐含授权

背景:我们的想法是,在浏览器存储中本地存储令牌并不是一种非常好的安全措施,因为它可以解决XSS攻击。如果令牌存储在cookie(httponly)中,那么我们至少可以缓解xss。

  • Auth Server将cookie令牌发送回客户端(浏览器),浏览器存储cookie。
  • 每个API请求浏览器都会将Cookie发送到WebAPI(也是auth服务器),以便进行身份验证。
  • API请求中不存在授权标头。 (即没有" bearer"标题中的标记)这是故意的。

问题:它返回401表示未经授权。

如果我发送授权标头(带有承载令牌),那么它可以工作。 (我想避免它,因为它击败了整个目的)

AuthServer + WebAPI: 

  Dim mdt As Date = txtDT.Text
    Dim weekNum As Integer = CultureInfo.CurrentCulture.Calendar.GetWeekOfYear(mdt, CalendarWeekRule.FirstFourDayWeek, DayOfWeek.Sunday) - CultureInfo.CurrentCulture.Calendar.GetWeekOfYear(GetFirstDayOfMonth(mdt), CalendarWeekRule.FirstFourDayWeek, DayOfWeek.Sunday) + 1
    Response.Write(weekNum)

由于

0 个答案:

没有答案
相关问题
最新问题