通过由ASP.NET Web应用程序和iOS移动应用程序访问的Web API服务层进行身份验证和授权

Question

我即将开始研究一个新的ASP.NET MVC Web应用程序，我打算构建iOS移动版本以及。

我打算使用MVC 4 Web API作为服务层，该服务层将位于业务层前面并由Web应用程序和移动应用程序访问。

但我有点困惑，关于如何在此体系结构中实现身份验证和授权。

通常在MVC应用程序，一旦用户提交正确的凭据，我会做出

FormsAuthentication.SetAuthCookie(username, false); 

通话，这将创造那么就会来回传递从一个请求到另一个保持一个cookie用户在应用程序中的会话。

我很困惑，从web应用程序访问时，这将如何通过服务层起作用。或者当移动应用程序调用服务时它将如何工作。

Answer 1

您可以设计您的Web API，使其需要在每个请求上发送表单身份验证Cookie。然后，您将使用此cookie从当前用户名中提取当前通过身份验证的用户。

但是在设计一个API时，通常最好使用一些其他的验证方式而不是cookie。例如，您可以使用Authorization HTTP标头，客户端将被要求发送表单身份验证票证的加密值。

您也可以查看关于基于令牌的安全性的following article。