是否可以使用持有者令牌对同一服务器上的两个webapi系统进行身份验证?
是的,可以使用持有者令牌对同一服务器上的两个webapi系统进行身份验证。
持有者令牌(Bearer Token)是一种用于身份验证和授权的令牌类型,常用于OAuth 2.0授权框架中。它是一种轻量级的身份验证机制,通过在请求的Authorization头中携带令牌进行身份验证。
在同一服务器上的两个webapi系统中,可以使用持有者令牌来实现身份验证。具体步骤如下:
- 用户通过某种方式进行身份验证,例如用户名密码登录、第三方登录等。
- 身份验证成功后,服务器颁发一个持有者令牌给用户。
- 用户在请求webapi系统时,在请求的Authorization头中携带持有者令牌。
- webapi系统接收到请求后,解析Authorization头中的持有者令牌,并验证其有效性。
- 如果持有者令牌有效,webapi系统将对请求进行处理,并返回相应的结果。
持有者令牌的优势在于简单、轻量级,适用于各种类型的应用场景。它可以用于前后端分离的应用、移动应用、单页应用等。
对于腾讯云相关产品,推荐使用腾讯云的API网关(API Gateway)来实现持有者令牌的身份验证。API网关是腾讯云提供的一种托管式API服务,可以帮助开发者快速构建、发布、运维、监控和保护API。通过配置API网关的身份验证功能,可以轻松实现持有者令牌的身份验证。
腾讯云API网关产品介绍链接地址:https://cloud.tencent.com/product/apigateway
相关·内容
假设我在angular的机器上调用webapi并从服务器获取令牌,我可以使用相同的令牌从其他机器调用api吗?服务器是否能够对其进行身份验证。
浏览 2提问于2018-11-23得票数 1
我们在本地域上运行的同一IIS web服务器上配置了两个webapi应用程序(核心和支持)。我们的用户使用active directory在核心应用程序上进行身份验证,核心系统返回一个持有者令牌。然后,此令牌用于授权来自我们的ReactJS客户端的所有应用程序接口调用。除了核心应用程序之外,我们还有支持web应用程序。对此系统API端点的任何调用也需要授权。 是否可以将核心应用发布的相同承载令牌用于支持应用? 我们已经配置了单独的We服务器、数据库服务器和客户端来测试该过程。在构建和部署两个api应用程序和ReactJS客户端之后,我们可以通过active directory登录,接收持有者
浏览 24提问于2019-01-24得票数 0
3回答
在不同的服务器上有2个WebApi项目。其中一台服务器(WebApi-A)设置了带有授权服务器和所有服务器的OAuth2身份验证工作流。 另一个WebApi项目(WebApi-B)有一个我希望通过[Authorize]属性进行身份验证的端点。我不希望有一个新的授权服务器,而是利用(WebApi-A的)身份验证过程来验证令牌。 据我所知,这些服务器上的机器密钥是否相同。实际上,我们可以在WebApi-B中复制来自WebApi-A的身份验证过程,而无需调用WebApi-A。 我该如何实现这一点?
浏览 15提问于2019-10-05得票数 3
1回答
我已经创建了一个WebApi 2.2项目(从一个空的新ASP.NET项目)来证明一些实现概念,现在我想向它添加身份验证。
我注意到,在新的WebApi应用程序上添加身份验证的唯一方法是使用其中一个(在我的例子中是VS2013)模板。
有没有一种万无一失的方法可以将身份验证添加到现有的WebApi 2.2应用程序中?
我只想使用不记名令牌,如果这对我可能收到的任何答案有影响。
浏览 0提问于2014-10-03得票数 9
回答已采纳
我用Azure编写了一个小服务器,并将其部署到node.js WebApp上。我希望使用Azure AD OAuth (如此)添加服务到服务身份验证。我已经在另一个使用Katana的WebApi服务中做到了这一点。
因此,我为此找到了库,它工作得很好。唯一的问题是该库使用ursa模块,这是一个本机模块。而且,就像解释的一样,使用本机模块部署WebApp并不容易。
所以,我的问题是--最好的方法是什么?如何使用Azure AD OAuth完成身份验证?
谢谢,
Omer
浏览 0提问于2015-07-28得票数 0
我创建了一个WEBAPI解决方案,我正在创建HTML来访问该web服务的所有功能。我正在使用http基本身份验证。
我有这些选择
将username和password保存在Javascript中,并在每次调用任何WEBAPI函数时发送它们。
第一次发送username和password,在服务器上创建一个令牌并将其发送回客户端,然后将其保存为cookie,并在每次调用任何WEBAPI函数时使用它。
不要使用HTTP基本身份验证。
处理这件事最好的方法是什么?谢谢
浏览 2提问于2015-07-13得票数 0
我目前使用grant_type=password&username=&password对我的简单用户名/密码组合进行身份验证(WebAPI OWIN),它会返回一个持有者令牌,这很好。
现在我正在尝试用社交登录来实现它,但是我的头不能绕过它。我正在使用离子云从我的应用程序中验证我的linkedin社交登录,当我尝试登录时,它会返回一个linkedIn令牌。
现在我有了一个linkedin令牌,我如何使用它来验证我的WebAPI服务,以便它返回一个持有者令牌?
浏览 0提问于2017-07-13得票数 1
这个问题似乎被问了很多,但我恐怕需要更多的帮助。
我有一个使用不记名令牌的WebAPI应用程序。它工作得很好。
我想内置到我单独的(不在同一服务器上) MVC应用程序中,并使用持有者令牌身份验证。
我想使用MVC中烘焙的东西,而不是我自己的。
我可以很容易地在MVC中调用API,获取令牌,然后从API请求受保护的资源,将令牌添加到auth头中,它工作得很好。
我需要的是如何管理登录/注销,对控制器操作的'Authorize‘属性的支持,对MVC中'User.IsAuthenticated’的支持,等等。
MVC应用程序本身是否有一些配置可以简化持有者令牌的使用(如startup
浏览 2提问于2017-05-14得票数 3
我的解决方案中有几个应用程序,我希望在它们之间共享身份验证。为简单起见,假设我有两个WebAPI应用程序。我使用/Token端点进行身份验证,并接收持有者令牌作为返回。然后,我将这个令牌放入Authentication:头中。
现在,登录到WebAPI_1,我可以从[Authorize]-decorated方法获取数据。但是如果我想在WebAPI_2中这样做,这是行不通的。
这些WebAPI是具有ASP.NET Identity 2的开箱即用的VS2013 WebAPI 2.1模板。每个WebAPI都是单独设置的,但它们都连接到同一个数据库。
我该如何解决这个问题呢?
我计划采用LoadBal
浏览 1提问于2014-04-12得票数 4
我使用的是blazor服务器(不使用webapi、httpclient和.)我想使用jwt进行身份验证。
我应该把令牌存放在哪里?localStorage还是cookie?如何将jwt发送到服务器所有的请求?我必须使用AuthenticationStateProvider吗?
我使用了httpContext,但是我得到了一个错误,除非它适合于cshtml文件,我还使用了AuthenticationStateProvider内部的本地存储,但只是得到了一个错误。
另外,哪一个更好?blazor服务器(一个项目)或带webapi的blazor服务器(两个项目,blazor server和api)
浏览 3提问于2020-01-26得票数 4
回答已采纳
我们有一个使用AngularJS作为前端的Asp.Net MVC5.0项目。该项目在同一项目中有WebAPI控制器,并将其部署到同一网站。该应用程序是使用个人用户帐户项目模板构建的,并使用Asp.Net标识和声明。有一个文件上传模块,用户可以通过webapi和ng- 100MB+ - upload插件上传一些文件。由于用户群的增加,我们希望通过将API分离到新服务器中的单独站点并在需要时进行扩展来快速提高上传速度。由于应用编程接口控制器目前采用的是OWIN cookie认证的ASP.Net MVC解决方案,所以应用编程接口由cookie认证中间件进行授权。将API放入单独站点的快捷方法是什么?
浏览 11提问于2017-12-20得票数 0
我有以下站点:带有Angular的asp.net MVC站点(1) -> WebApi (2)混合使用WCF和MVC服务的-> asp.net MVC远程站点(3)
(1) Angular客户端运行在一个新的“轻量级”asp .net MVC站点上,并且应该使用承载令牌来从WebApi获取数据。未来需求:单点登录
(2) WebApi将成为未来的端点。但到目前为止,旧站点(3)的繁重后端需要一个临时解决方案。繁重的后端将逐渐转移到WebApi,省去了silverlight组件、windows应用程序依赖等。WebApi也是一个新的设置,但通过/token端点提供令牌。我遵循了这个指
浏览 0提问于2015-09-24得票数 0
我有一个angular客户端,它能够进行身份验证并从Azure AD接收令牌。我将令牌添加到标头并调用WebAPI。我经常收到以下消息
“此请求的授权已被拒绝。”
我用Angular和Google Postman得到了这个错误。
从角度来看,我将令牌添加到头请求中,如下所示
this.http.get<T>(endpointUrl, this.getHeaderWithToken());
从getHeaderWithToken调用中,我确实看到令牌被添加到标头
let token = this.authService.getAccessToken();
let he
浏览 1提问于2019-07-22得票数 0
1回答
我们正在使用Backbone +MVC4构建一个单页面应用程序。在服务器端(MVC4),我们使用了MVCController (很少)和webapi控制器。到目前为止,在这个应用程序中我们已经使用了基于表单的身份验证。此外,我们还将用户信息存储在Sessions中。现在,有一个要求,客户希望通过他的其他窗口/移动应用程序使用这些webapi。我们相信我们可以公开所有的webapi控制器。但这里有一些值得关注的问题:
1)目前所有的webapi都有表单认证的安全保护。但是当这些webapi将与windows/本地移动应用程序一起使用时,基于表单的身份验证将不起作用(因为它在内部使用cookie)
浏览 4提问于2015-08-13得票数 4
我有一个调用WebAPI的MVC5App。WebAPI使用持有者令牌进行身份验证。在WebAPI中有一个方法(操作),我希望使用谷歌返回的令牌进行身份验证。为此,我对WebAPI方法执行以下操作
[OverrideAuthentication]
[HostAuthentication(DefaultAuthenticationTypes.ExternalBearer)]
[Route("{userName}")]
public async Task<User> GetUser(string userName)
尽管如此,我仍然收到来自WebAPI的未经授权的错误。我
浏览 0提问于2014-06-17得票数 2
1回答
我有Web API 2 web服务和方法:
// Makes and returns Token by login/password.
string GetToken(string login, string password);
// Returns orders of current account.
Order[] GetMyOrders();
我想通过用户对此方法的请求在GetMyOrders()中对其进行身份验证。
请求必须包含令牌,该令牌将映射到web服务端的accountId。
客户端将对每个请求使用此令牌。
我可以使用ASP.NET标识实现GetToken()方法吗?
使用此
浏览 0提问于2014-07-07得票数 1
1回答
出于调试目的,我能否从.Net核心WebAPI生成相同的承载令牌?
我不想在每次API重启时都进行身份验证,我想创建一些语句,如果打开了Debug模式,就会生成相同的令牌。
浏览 7提问于2020-02-10得票数 0
我有一个集成了Google服务的应用程序(具体地说是Google Bigquery API )。
我在客户端对用户进行身份验证,没有离线访问作用域(因此没有刷新令牌),并且在客户端执行大多数操作。但是我想在服务器端执行一些操作(仍然是代表经过身份验证的用户)。
目前,我正在将访问令牌传递到服务器端(通过https),在服务器端使用该令牌初始化Google库,并在那里执行操作。
我在Google上找到的关于这方面的文档要么是在服务器端使用身份验证,要么是使用刷新令牌,或者完全在客户端。找不到建议此混合情况的最佳实践的文档。
简而言之,我想要做的是,在后端使用在客户端获得的短期访问令牌。
这种方法
浏览 6提问于2019-04-16得票数 2
1回答
我正在重新开发一个应用程序,作为一个web应用程序(“以前的”迭代在VB6中)来运行在azure上。一个要求是我们只使用facebook/google身份验证(OAuth 2.0)。另一个业务需求导致我将项目分解为以下模式:
1 WebAPI 2.0项目
1个控制器项目
1用于数据访问(典型的层模式)
MVC 5前端的N项目
其想法是MVC项目将只通过javascript/json使用WebAPI!N项目将只包含页面的GET实现。没有模型或其他操作(例如post)。换句话说,MVC项目与其他项目完全脱节,不应该有任何智能,无论什么!!。
这是由于(讨厌的客户端和)有限的
浏览 0提问于2014-01-03得票数 0
我正在做web API中的AzureAD身份验证。每件事对我来说都很好。我很好奇,下面这段代码是如何验证Azure Active directory令牌的。
app.UseWindowsAzureActiveDirectoryBearerAuthentication(
new WindowsAzureActiveDirectoryBearerAuthenticationOptions{
Audience = ConfigurationManager.AppSettings["ida:Audience"],
Tenant = Configu
浏览 2提问于2017-09-03得票数 0
2回答
我有一个web应用程序,它的结构是-
webapi : django web服务不休息没有实现安全性
前端: Angular2.通过SAML实现身份验证
数据库: Mongodb
请您建议保护webapi的最佳方法,因为目前任何人都可以访问具有服务器api接口 url的web服务。
如果您建议身份验证和授权流程,这将是一个很大的帮助,因为我完全被困住了。提前谢谢。
浏览 0提问于2017-12-07得票数 2
回答已采纳
我目前正在开发一个针对一些AJAX请求的MVC5应用程序+ WebAPI。对于MVC部分,我使用标准的cookie身份验证,对WebAPI部分使用基于令牌的身份验证。我希望用户只使用MVC站点登录,而不必再次向授权服务器进行身份验证以获得访问令牌。
在服务器端获取访问令牌,将其放在站点上的隐藏字段中,然后使用java脚本查询它,然后将其用于web api请求,这样做安全吗?假设连接将通过HTTPS,出于明显的安全原因:)
浏览 0提问于2016-03-04得票数 0
我正在WebsocketSharp上工作,遇到了一些困难:
是否存在基于ASP.NET WebAPI上的身份验证系统的websocket身份验证,因为我计划在ASP.NET WebAPI中托管WebsocketSharp服务器。
更新我很清楚这部分。它们只是运行在同一台服务器上的两个独立的应用程序。所以没有来回的互动
如何获取发件人的ID,因为我在github上看不到它的README.md文件中的任何指令。
如何发送消息给一个特定的用户,或者无论如何,一个特定的连接ID。他们给出的唯一的例子是Sessions.Broadcast,它发送给所有连接的客户端。
Websocke
浏览 4提问于2015-06-25得票数 1
这也许是个愚蠢的问题,但下面是这样说的:)
在这个问题上,我有以下应用程序:
IdentityServer3
一个WebApi2应用程序,该应用程序使用Identityserver服务器作为其身份验证器
MVC web应用程序
我想要做的是从WebApi上从IdentityServer调用一个安全的服务,但是为了做到这一点,我需要一个访问令牌。
如何在IdentityServer中向自己发出访问令牌(按照顺序,它将从WebApi中通过自身进行身份验证)
浏览 7提问于2016-08-04得票数 4
回答已采纳
3回答
我有一个具有Ownin cookie身份验证的MVC5客户端。我还有一个受Owin持有者令牌保护的Web (我使用了创建令牌端点的VS2013 Web模板)
好了,现在我的MVC5客户端需要使用我的WebApi了。我创建了一个方法来获取持有者令牌:
internal async Task<string> GetBearerToken(string siteUrl, string Username, string Password)
{
HttpClient client = new HttpClient();
client.BaseAddress = new
浏览 1提问于2014-03-22得票数 17
回答已采纳
我有一些关于WebAPI和OWIN的一般/如何操作的内部问题(特别是在VS2013中创建新的WebAPI项目并选择单个用户帐户身份验证时设置的默认配置)。我这样做了,然后注册(使用jQuery post),甚至登录(我在授权头中包含了接收令牌,接收对受保护资源的访问)。我只想再问几个问题:
我的数据是否存储在身份验证令牌中?我知道我的密码不是,但令牌是包含加密数据,还是只是一个随机字符串?这是我唯一能想到的两个选项:要么令牌包含加密数据(userId、过期日期等)服务器应用程序对其进行解密,并授予我对资源的访问权限,或者令牌是一个随机字符串,所有用户数据都存储在服务器上(令牌用作密钥以获得
浏览 5提问于2014-08-26得票数 1
回答已采纳
1回答
我正在尝试为我的系统实现开放的id连接认证。
系统概述
移动应用程序、云和服务器。
2-用户在移动客户端中输入凭据,客户端向云发送必要的令牌。
云将充当代理,并将令牌发送到服务器,服务器将对用户进行身份验证。
对于这种情况,什么应该是理想的身份验证令牌?ID令牌还是访问令牌?
是否有任何规范或可靠来源提及选择正确令牌的最佳实践/标准?
我正在尝试使用ID令牌,我偶然发现了这个问题--
浏览 2提问于2017-07-18得票数 0
1回答
我正在开发一个使用ASP.NET 5进行站点重新架构的原型,并且我正在讨论使用IdentityServer4进行身份验证和授权。我已经查阅了很多关于设置IdentityServer3和4的示例和文章,如果它能够以适当的方式处理我的客户的需求,我就会试着考虑一下。这是我的要求。
我有3个网站需要授权。Site 1 (abc.com)将需要windows身份验证,它将结合使用角色(或转换为声明的角色)进行授权的mvc和webapi调用。Site 2 (def.com)是一个受信任的站点,它希望在其站点上设置一个带有用户名/密码/rememberme文本框的登录小部件,该文本框在提交时将对用户进行身
浏览 4提问于2016-04-15得票数 5
我是webapi2的新手,我实现了一个简单的WebApi2项目,它从第三方webservice (使用凭据调用)中解锁一些数据。
这工作得很好,但现在我正在寻找避免从我们的webapi中抓取内容的方法。这不是敏感数据,但对竞争对手来说是有好处的。
我们不能让我们的用户登录,但我正在寻找方法,使有人更难从网络服务的内容。由于数据可以从我们的网站上免费获得,我知道我们不能保证它100%安全,但我必须做些什么来让它变得更难(这似乎是一个人们以前已经反驳过的问题,我似乎找不到一些明确的信息)
我已经研究了CORS,但这似乎更适合相反的方向,允许来自其他域的请求。
也许可以在后端使用一些密钥,将其与一些
浏览 0提问于2016-07-02得票数 2
2回答
身份验证WebAPI
、、、
我只是使用属性/过滤器为每个WebAPI操作开发了一种身份验证机制。我没有使用"BuiltIn“授权功能,因为我想使用我的存储过程和表结构。
我要求WebAPI用户在每个请求中提供用户名和密码作为请求头的一部分。用户名和密码以明文传输,但WebAPI配置为仅通过HTTPS (SSL)工作。
我的安全顾问告诉我,即使在HTTPS (SSL)上以明文传输用户名和密码也是不安全的,并要求我对凭据进行加密。
这样做的简单方法是什么?他在Cookie上建议,但我不确定WebAPI客户端是否适合Cookie,因为WebAPI用户不仅仅是浏览器客户端,一些用途是服务器到服务器。
谢谢
浏览 0提问于2014-02-26得票数 0
如果我将身份令牌发送到javaScript代码以使用它调用带身份验证的web方法,会出现问题吗?身份令牌是由受信任的IdP颁发的。
不管令牌是不是加密的,这样做有什么安全问题吗?
在我的例子中,有一个web应用程序要求IdP对用户进行身份验证。为了发送安全令牌,我使用了一个带有Ws2007FederationBinding的WCF服务。当我从服务器调用服务时,一切都很好,但是现在我如何使用JavaScript从客户端使用它呢?
浏览 0提问于2014-12-09得票数 1
我想使用MVC C# WebAPI。
在服务器级别,谁向您发送请求的最佳方式是什么?例如,如果我收到一个登录请求并进行了身份验证,那么WebAPI是否应该返回一个自定义令牌,服务器需要将该令牌存储在某个地方以标识进一步的调用?
如果是的话,标记是WebAPI已经嵌入的标记,还是我需要编写的标记?
在服务器上存储该令牌的推荐方法是什么?理想情况下,我不想使用任何会话。
另外,我也不太喜欢使用会员资格,因为我不愿在此说明很多原因。
谢谢你的进阶。
浏览 5提问于2013-09-25得票数 1
回答已采纳
我已经创建了两个简单的应用程序,一个是MVC网站,另一个是MVC API。这些网站使用API中的几个方法。
我已经将两者部署到Azure,应用服务,网站作为Web应用,Api作为Api应用。到目前为止,我还没有实现任何身份验证,它工作得很好。
现在,我希望两个资源都使用身份验证。因此,在Azure Portal中,我为WebApp和ApiApp启用了身份验证。在WebApp中,我将值设置为:应用服务身份验证:打开未通过身份验证时采取的操作:使用Microsoft帐户登录我配置了Microsoft帐户
对于Api应用程序,我设置了相同的值,除了要采取的操作之外,我将其设置为“Allow Requ
浏览 0提问于2016-04-14得票数 0
我们正在构建一个Windows认证的ASP.NET MVC应用程序。然后,这将调用位于不同服务器上的ASP.NET WebAPI层。
我们没有启用Kerberos,所以假设通过某种形式的基本auth进行身份验证。我们还希望使用ASP.NET成员/标识来进行角色管理。所有与成员数据库的通信将通过WebAPI进行。
有人能指导如何最好地处理在MVC和WebAPI应用程序之间进行通信的身份验证令牌,以及如何在两个层之间使用授权属性?
浏览 0提问于2014-10-27得票数 1
回答已采纳
2回答
我试图在使用WebApi服务的跨平台移动应用程序上实现身份验证和标识。
我的计划是将身份验证导出到联邦云服务,例如新的Azure Mobile服务。客户端移动应用程序将使用Mobile身份验证流,获取一个令牌,并将其发送到请求的头部到WebApi中,后者将验证它并从中提取UserId。
假设我已经使用WebApi拦截器配置了DelegatingHandler验证JWT令牌,那么可以验证由Azure发出的令牌吗?
对于SymmetricKey、发布者和受众来说,正确的值是什么?
我往正确的方向走了吗?
浏览 4提问于2013-08-15得票数 1
回答已采纳
在Azure AD中,我有以下场景:
单页应用程序(消耗)> WebAPI 1(消耗)> WebAPI 2
通过身份验证的用户在其身份下使用WebAPI 1。
WebAPI 1中的某些操作需要在不同的标识(服务到服务)下使用WebAPI 2,因此需要在不同的标识(服务帐户)下请求访问令牌。我在WebAPI中使用WebAPI。
我已经阅读了MS文档()来理解不同的场景/协议,但是我看不到任何适合这个场景的东西,在这种情况下,我需要代表不同的用户请求一个访问令牌,而不是已经通过身份验证的用户。
我考虑使用ADAL来验证用户的用户名和密码(出于好奇),但似乎这是不可能的()从
浏览 0提问于2018-05-01得票数 0
这听起来可能是个愚蠢的问题。
我想通过Azure AD认证连接到webapi服务的最终用户。由于安全原因,Web Server (承载webapi服务的地方)位于反向代理后面没有internet连接的区域。
客户端(最终用户)在家中与互联网(当然),并连接到webApi服务通过反向代理。
针对AZURE AD的所有/任何可用的身份验证方法是否都要求承载webapi服务的服务器具有Internet连接?
谢谢
浏览 1提问于2015-04-24得票数 1
回答已采纳
1回答
我正在使用SAML2构建一个Range2应用程序,它是通过passport 2策略构建的。当我从SAML收到用户信息时,我会生成一个JWT令牌,用于在我编写的API上对用户进行身份验证。
所以我有两个服务器,APP/Auth 为我的应用程序提供服务,并生成我的JWT令牌,而API 有我的API。这两个服务器都有JWT机密的副本,所以当用户从APP/Auth 向API 发送请求时,我会通过使用秘密验证请求来验证他们发送的令牌。
现在让您的应用程序从您用来生成JWT令牌的服务器上服务,这是不是很糟糕的做法呢?如果是的话,我应该在这里做什么?我是否应该做更多的工作来验证API端的用户身份?
这方面的
浏览 1提问于2017-03-30得票数 3
回答已采纳
我已经开发了带有Azure AD SSO的SPFX应用程序。它还使用使用ADAL OAuth2隐式流生成的承载令牌以及SPFX SSO访问令牌连接到web api。这工作得很好。我想用Postman测试webapi。目前我正在从浏览器的开发者工具中复制持有者令牌,并将其在header中发送以连接webapi。我想自动执行上述两个步骤,这样我就可以自动执行用户测试场景。
1.通过传递用户凭据从C#/postman生成AZURE AD SSO访问令牌。(Postman/React/C#) 2.使用步骤1中生成的访问令牌生成承载令牌。(Postman/React/C#)。
我想使用Postman/C
浏览 1提问于2021-10-12得票数 0
你好,我正在建一个ASP.Net WebApi。首先,我使用基本身份验证、WebApi成员资格提供程序和Thinktecture Identitymodel模型授权了。
var authConfig = new AuthenticationConfiguration();
authConfig.AddBasicAuthentication((username, password) => Membership.ValidateUser(username, password));
config.MessageHandlers.Add(new AuthenticationHandler(a
浏览 4提问于2013-01-26得票数 1
回答已采纳
我们的iOS应用程序和服务器的当前流程是在应用程序内进行身份验证,并将令牌发送到服务器进行离线处理。
我在测试时遇到了这个错误消息:
{
"error": {
"type": "OAuthException",
"message": "Invalid access token signature."
}
}
(我正在使用github iOS SDK btw)
我不确定用户令牌和应用令牌之间是否存在令牌差异?我不确定为什么我从iOS Facebook SDK得到的token不能被P
浏览 2提问于2011-08-31得票数 0
我们有angular前端,它与WebApi后端一起工作,我们已经使用OAUTH(持有者令牌)作为身份验证模式。
一切都像预期的那样工作得很好。
现在我们有了一个要求,其中一个客户端想要验证已经登录的用户(Active Directory),并让他们跳过登录,这些用户也已经存在于我们的数据库中。
我们希望保持整个OAUTH机制相同,但增加了一个额外的步骤,我们检查当前登录的用户(Active Directory)是否与我们的数据库用户(在这种情况下是电子邮件)匹配,然后我们生成一个令牌并让客户端在每次登录时都不需要提供用户名/密码。
任何关于如何实现这一点的想法和任何代码示例都将是有帮助的。
如
浏览 0提问于2016-03-24得票数 2
1回答
我有一个独特的场景,使用Open中间件对Azure AD进行身份验证,现在一旦应用程序经过身份验证并建立会话,我就需要对位于同一服务器上的WebAPI服务进行AJAX调用。
我计划将缓存在服务器上的Id/ access令牌返回给客户端,并将其存储在会话存储中。
这种方法是否有安全含义,我的意思是,通过ADAL或ADAL获得的令牌之间有什么区别吗?
浏览 1提问于2016-02-12得票数 0
回答已采纳
2回答
我有一个基于IdentityServer 4 (.Net Core v2)的身份服务器运行于完整的.Net框架,我有一个基于ASP.Net WebAPI 2(即非.Net Core)的ASP.NET WebAPI,它使用Identity Server 3 OWIN中间件进行令牌身份验证。
当在本地运行时,一切都正常工作--我可以使用Postman使用RO密码流从Identity Server请求访问令牌,然后我可以向WebAPI发出请求,将令牌作为Bearer发送--所有操作都很好。
现在,当所有的东西都托管在我们的测试服务器上时,我在调用WebAPI时遇到了一个问题--我只是得到了一个未经授
浏览 0提问于2018-02-13得票数 2
回答已采纳
我正在使用ASP.NET WebAPI构建一个restful风格的web服务api。我将在MVC中将其作为web应用程序使用,并最终在移动应用程序中使用。我希望使api独立,而不是将其与MVC应用程序耦合。我在弄清楚身份验证应该如何构建时遇到了问题。我需要的api是从一个特定的来源( web应用程序和移动应用程序)消费。但是,我不知道如何将WebAPI中的身份验证与MVC身份验证联系起来。新用户应该在MVC中注册,他们的身份验证信息应该提供给WebAPI。我正在为这个项目使用个人账户身份系统。
简而言之,如何对Api和客户端使用相同的身份验证?是否应该将它们部署到同一个域?
浏览 1提问于2015-11-18得票数 2
在我使用VS2013模板创建的webapi应用程序中,我在Startup.Auth.cs文件中添加了自定义OAuthBearerAuthenticationProvider类:
public class CustomBearerAuthenticationProvider : OAuthBearerAuthenticationProvider
{
public override Task ValidateIdentity(OAuthValidateIdentityContext context)
{
UserManager<ApplicationUser&
浏览 1提问于2015-01-28得票数 3
3回答
我正在为我的api控制器使用基于WebApi和基于令牌的身份验证。现在我有了一个signalR集线器,并且希望使用客户端上的相同令牌对客户端进行身份验证。
我该怎么做?此演示如何通过url参数发送令牌,但我不确定如何使用该令牌并在服务器端对用户进行身份验证。
浏览 5提问于2013-12-18得票数 7
回答已采纳
2回答
将ADFS令牌传递给服务
、、、
我有两个ASP.Net应用程序: App1和App2。这两个应用程序都是标准的web应用程序,它们使用WIF和相同的ADFS服务器对用户进行身份验证,但App2也公开了一些WebAPI服务。
当用户访问App1时,App1调用App2上的服务,而我需要以某种方式使用用户的令牌调用App2服务。
如果用户自己调用App2上的服务,他们将通过相同的ADFS身份验证,一切都会正常工作,但调用App2上的服务的是App1,而不是用户。
对如何做到这一点有什么想法吗?
谢谢!
浏览 0提问于2013-07-23得票数 3
我正在使用Angular.js和ASP.NET构建一个SPA,我想知道保护它的最佳方法是什么。
这是我需要的:
我想使用MVC框架只对登录的用户隐藏我的应用程序。因此,在启动SPA之前,用户要做的第一件事就是使用简单的登录表单登录网站。
当Angular应用程序启动时,它将使用REST请求与我的ApiController通信。
我还希望我的用户在20分钟不活动后自动注销。
我知道REST应该是无状态的...但是我不知道如何在没有会话的情况下实现我所需要的一切……
但另一方面,我希望能够在未来的移动应用程序中使用我的WebAPI。我将不得不在此应用程序上使用令牌进行身份验证。
对我来说,实现这种
浏览 0提问于2016-03-16得票数 1
1回答
我们有一个基于2层的系统,一个后端层和一个前端层,现在都是Azure WebSites通信槽WebAPI。我不打算将后端WebAPI移到App -问题是--如果能够以这种方式配置App的安全性,那么它就是专用的,可以从配置好的前端ASP.NET ASP.NET 6Web应用程序(托管在Azure WebSites中)访问。
我们计划使用Active作为前端WebAPI和后端WebAPI之间的身份验证方法,这样只有前端才能访问后端WebAPI。这是最安全的方法吗?还是有更简单、但仍然安全的API应用程序方法?
浏览 0提问于2015-05-19得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
