问使用SPA代码保护Web API

EN

任何安全机制都可以，例如考虑表单身份验证。您将Authorize属性添加到您的控制器方法中，如果cookie是从服务器发出的，ajax请求将携带该cookie。

这真的很简单。如果由于某种原因，它不适用于您的场景，那么您必须更具体。

正如Wiktor所建议的，您可以使用基于表单的身份验证(HTTP机制)。

但是，如果我们更广泛地考虑您的问题，那么保护所有AJAX请求意味着什么？

您可能希望实现以下目标：

• integrity
• confidentiality
• non repudiation
• accountability
• more?

这个话题在wikipedia上有更广泛的讨论。更具体地说，您希望在API中执行以下操作：

• 保护通信通道:使用安全套接字层(单向或双向)。这将提供完整性和confidentiality
• use身份验证。这将为您提供不可否认性和责任。.NET中提供了不同的身份验证方法(窗体、HTTP Basic、SAML-based...)
• for高级方案)，包括授权(允许用户使用方法调用)、使用基于声明的授权( .NET框架的一部分)、基于角色的访问控制或.NET。