标签: angular asp.net-web-api2
我正在使用Web API和Angular开发一个SPA应用程序,并使用基于承载令牌的身份验证进行身份验证和授权。
我的问题: 基本上我们将从web api获取令牌并将该令牌存储在本地/会话存储中,对于后续请求,我们使用此令牌并通过HTTP Header传递给每个请求。这意味着服务器不知道有关特定令牌/会话的任何信息以及谁将发送该请求。在这里,我的问题是服务器如何识别哪个用户来自该令牌以及它将如何检查它是否是有效令牌。
答案 0 :(得分:0)
通常,发布令牌的服务器会跟踪发出令牌的用户,因此将假定使用所述令牌发送的任何请求来自同一用户。大多数时间令牌也有一个有效期,并且一旦该期限过去就会到期。这些信息大部分时间都存储在数据库中。
您应该查看oauth文档,了解有关此问题的更多信息。
无论如何,HTTP都不是无状态的,有关更多信息,请参阅此SO post。