我正在使用Asp.Net Web Api 2创建一个带有令牌认证的REST服务(在正常的IIS 7.5下,不是快递)。因此,我使用了Visual Studio 2015附带的标准生成模板。
我也理解了这个概念和代码,对Fiddler进行了一些测试,得到了令牌,尝试注册等等,我喜欢这种方法。 但有一点我不明白,我想念的每一篇关于它的文章: 该服务的IIS身份验证设置应该是什么? 默认情况下,启用匿名身份验证和其他选项 (形式,窗户,基本)关闭。 如果我理解正确它应该无关紧要(因为WebApi服务中的OAuth授权服务器和OWIN应该接管服务的完整身份验证机制,对吧?),否则应该关闭所有IIS身份验证选项。
但我发现这很重要。因为如果我想执行'/ api / Register'POST方法,它只有在我打开匿名身份验证时才有效。如果我将其关闭,我会收到401.2未经授权的结果。 但是,保持匿名身份验证打开对我来说似乎是非常不逻辑/不安全的。我想把它关掉。或者我必须打开它吗?如果是这样,为什么?我错过了什么吗?
我还将web.config中的身份验证方法设置为“None”: (我在web.config中只更改了数据库连接字符串。)