如何使用基於令牌的HTTP基本認證來保護MVC內的WebAPI 4 .NET SPA模板？

Question

我一直在閱讀有關保護的WebAPI，包括主題不同的文章：

leastprivilege article

kevin junghans article

piotr walat's article

等等。我想使用MVC 4.NET SPA模板（帶有Backbone.js或另一個JS庫），我想保護SPA使用基本HTTP身份驗證的WebAPI，在標頭中使用令牌，因爲某些的WebAPI客戶端將不支持表單身份驗證所需的Cookie。

SPA模板使用SimpleMembership和oauth，我希望使用它並與基本http身份驗證結合使用。

我不清楚SPA模板是否可以使用基本的HTTP身份驗證和令牌對WebAPI進行驗證和授權，還是必須按照上述鏈接進行操作並將其組合在一起？

Answer 1

這是一個相當大的話題，它最好在完全理解它之前插入模板。

這裏是一個偉大的視頻，以幫助把一切都到位：https://vimeo.com/43603474

您必須使用SSL任何基於令牌的認證（如OAuth的）

一旦用戶通過驗證 - 通過OAuth或您自己成員資格提供程序，您可以簡單地將任何Web Api方法歸爲[Authorize]，以確保未經身份驗證的用戶無法調用這些方法（將返回401 - 如果未經過身份驗證，則返回未授權）