ASP.NET MVC 3 Web API - 使用令牌进行保护

Question

我正在尝试为许多 ASP.NET MVC 操作找到实现基于令牌的身份验证的最简单方法。

Api 控制器与 Web 应用程序并排放置，因此我需要能够指定哪些操作/控制器需要进行 Api 身份验证。

我已经有一个用于表单身份验证的成员资格提供程序，所以我想重用它来验证用户并构建返回的令牌。

我已经阅读了几篇关于实现 OAuth 的文章，但大多数文章看起来都非常复杂。我见过几个使用 API 密钥的示例，但我想请求一个令牌，然后将其作为参数传回，而不必作为 HTTP 标头中的值。

基本上流程需要是：

1. 用户通过传入用户名的身份验证操作请求令牌和 密码。
2. 服务返回 enc 令牌
3. 用户将 enc 令牌作为参数传递给未来调用 auth

完成此操作的典型方式是什么，客户端（比如 ajax 调用）是否需要计算用户名的哈希值/传入 1）？还是纯文本可以通过 TLS/SSL？

任何建议表示赞赏。

Answer 1

您对您所描述的内容有什么担忧？

您描述的过程似乎可行。通常，系统会在令牌的有效期内过期，之后他们需要获取新的令牌。不过，到期有很多变化（固定时间、滑动时间等）。

对于您关于用户名/密码的问题，客户端不应对其进行哈希处理。只需确保它们是通过安全方法 (SSL) 传输的。