我想用令牌保护asp.net web api服务。现在我知道你通常会实现一个STS服务器,但我不想这样做,所以我的其他选择是什么。
我在考虑……
我过去使用Hawk实现了类似的场景( https://github.com/hueniverse/hawk )。我在GitHub中实现了Hawk in .NET,它使用消息处理程序与Web API集成。
https://github.com/pcibraro/hawknet
在我在项目中实现的方式。客户端应用程序首先使用基本身份验证和真实用户名/密码(使用https)调用web api。 web api对用户进行身份验证,并将一组hawk凭据返回给客户端(它将等同于令牌)。其余的电话使用协商的鹰派证书以鹰派保护。这很简单,不涉及任何STS。