使用WebAPI进行RESTFul身份验证

基本上您需要基于令牌的身份验证或授权。 如果您正在使用ASP.NET WebAPI，则以下项目是一个很好的起点：http://thinktecture.github.com/Thinktecture.IdentityModel.45/ 即使您不使用ASP.NET WebAPI，以下视频也是介绍如何在RESTful Web服务上提供身份验证/授权的很好的入门介绍：http://vimeo.com/43603474 为了回答您的一些问题：
检查用户是否已登录：这可以通过javascript完成吗？我向我的WebAPI发送Cookie吗？如果是这样，我是否将该Cookie作为请求正文中的参数发送？
您可以使用Cookie，但通常我使用标头来避免常见的XSRF攻击。每当从浏览器发送HTTP请求时，Cookie都会自动包含在其中。
这就是SSL发挥作用的地方吗？
是的。如果您要使用基于令牌的方法，您可以使用单独的服务器（Identity Server）来为您进行身份验证。

JavaScript客户端非常独特。您的Web API和提供JavaScript的页面是否在同一个域中？如果不是，则存在同源策略限制。如果您拥有同一Web应用程序托管网页和Web API，则可以使用表单Authn。在这种情况下，您无需自己从JavaScript发送包含身份验证票证的cookie。浏览器会为您执行此操作，并且这就是XSRF问题的原因。您必须小心JavaScript发送用户不应知道的凭据。如果JavaScript知道某些内容，任何聪明的最终用户都可以获得那些知识。OAuth 2.0隐式授权可能是一个不错的选择。最终用户在授权服务器中输入凭据（密码），该服务器发出访问令牌。JavaScript获取令牌并将其呈现给Web API，但它永远不会访问凭据。