MVC6 和 Web Api 身份验证

Question

嗯，这是一个错误。 我决定将我的 MVC5 应用程序迁移到 MVC6 并且一切都很好，直到我需要迁移我的身份验证。 我的 MVC 应用程序使用返回令牌的外部 Web Api 2 应用程序登录。 我构建了一个过滤器来处理这个问题：

/// <summary>
/// Uses the session to authorize a user
/// </summary>
public class SimpleAuthorize : AuthorizeAttribute
{

    /// <summary>
    /// Authorizes the user
    /// </summary>
    /// <param name="httpContext">The HTTP Context</param>
    /// <returns></returns>
    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        var accessToken = httpContext.Session["AccessToken"];

        if (accessToken == null)
            return false;

        return true;
    }
}

应用于所有控制器。 现在，您似乎是can't do that anymore as mentioned here。 那么，如何让我的应用程序使用 API？

我尝试过搜索，但没有发现任何可以帮助我解决我的情况。有谁知道我该如何解决这个问题，或者可以为我指出一些像样的文档的方向？

Answer 1

您可以通过编写授权中间件来处理它，该中间件从访问令牌中创建一个身份。拥有一个有效的身份就足以让授权成功，如果您需要更详细的信息，您可以深入研究政策。类似的东西

public class SessionAuthenticationHandler : 
    AuthenticationHandler<SessionAuthenticationOptions>
{

    protected override async Task<AuthenticateResult> HandleAuthenticateAsync()
    {
        var sessionToken = Request.HttpContext.Session.GetString("Token");

        if (sessionToken == null)
        {
            return AuthenticateResult.Failed("No session token");
        }

        // Construct principal here
        var principal = 
            new ClaimsPrincipal(new ClaimsIdentity(new[] { 
                new Claim("SessionToken", sessionToken) }, Options.AuthenticationScheme));

        var ticket = new AuthenticationTicket(principal, new AuthenticationProperties(), 
            Options.AuthenticationScheme);
        return AuthenticateResult.Success(ticket);
    }
}

话虽如此，ASP.NET 从未使用会话来保存身份验证详细信息的原因是会话固定攻击。