Лучший способ аутентификации для .NET Web API + Статический HTML + JS

Question

Я разрабатываю веб-приложение, использующее REST .NET Web API. Мой веб-API не имеет гражданства, и я использую статические запросы HTML и JQuery.

Вопрос .... Каков наилучший способ для авторизации входа/пароля?

потока

Применение:

1. запрос API XHR
2. ответ API со статусом 401
3. JS перенаправить на страницу входа
4. API запрос аутентификации XHR (с логином и паролем)
5. ответа API с токеном
6. Новый запрос API XHR (с токеном)
7. Ответ API с данными

Answer 1

Я считаю, что ответ Это зависит от модели; и это действительно зависит от того, насколько чувствительна информация, стоящая за вами API.

Если мы говорим об очень важных данных, я бы реализовать модель Amazon uses

Для большинства сайтов, что вы описываете, это просто отлично. Я бы использовал https для дополнительной безопасности. Вы можете передать свой зашифрованный токен в файл cookie или в качестве настраиваемого заголовка.

В контроллерах API вы можете использовать атрибут [Авторизовать] для ограничения доступа к тем конечным точкам, для которых требуется аутентификация.

Вы можете разоблачить обработчик делегирования, который обрабатывает все запросы и отвечает 401, если токен недействителен, или установите текущий принцип, чтобы атрибут авторизации мог быть удовлетворен.

Пожалуйста, дайте мне знать, если вам нужны образцы кода, я сделал это раньше.