AngularJS + ASP.NET Web API + ASP.NET MVC身份验证

Question

AngularJS + ASP.NET Web API + ASP.NET MVC身份验证

asp.net-mvcangularjsasp.net-web-apiforms-authenticationasp.net-identity

20

我是AngularJS的新手，正在尝试为我的新Web应用程序评估它。

要求：

我将有一个ASP.NET Web API，将从Android、iPhone和Web应用程序（ASP.NET MVC）中使用。 Web API将实现ASP.NET身份验证。所有三个应用程序都将调用Web API的登录方法以获取认证令牌。

问题：

我的问题是如何使ASP.NET MVC 服务器端身份验证工作（与Web API同步，因此我不必单独登录ASP.NET MVC），而同时AngularJS会发出调用以获取HTML模板/视图、JavaScript文件或其他资源。我查阅了许多关于AngularJS的文章和博客，但仍无法找到符合我的要求的安全模型。

可能的解决方案：

是否将登录调用直接发给ASP.NET MVC应用程序而不是Web API会是一个好主意呢？然后，ASP.NET MVC应用程序将调用Web API进行登录，并在身份验证后将认证令牌保存在会话中，再创建一个FormsAuthentication cookie，并在cookie数据中保存加密的认证令牌。此外，在HTML某处设置ng-init中的auth token，以便在AngularJS范围内拥有该令牌。现在，当AngularJS尝试调用ASP.NET MVC应用程序以获取HTML时，通过将cookie解密后的数据与会话中的认证数据进行匹配来验证/授权用户。此外，AngularJS将为所有后续调用Web API方法的数据操作直接发送header中的auth token。

- Haider

3个回答

5

还值得一看：

https://bitbucket.org/david.antaramian/so-21662778-spa-authentication-example/overview

(基于这个SO问题)

警告：不适合胆小的人...

ASP.NET Web API 2
HTML5 + AngularJS + $ngRoute
NuGet脚手架
Yeoman (Grunt/Bower)
Owin框架 (OAuth 2.0)
CORS

- Dunc

2

谢谢。这是我见过的最好的例子。解释得非常清楚。 - Maxwell Weru

1

我认为你走在正确的道路上。我建议将令牌存储在Angular Service中，这样会更容易一些 (http://blog.brunoscopelliti.com/deal-with-users-authentication-in-an-angularjs-web-app)。但是，“AngularJS尝试调用ASP.NET MVC应用程序以获取HTML”这句话让我有点困惑，你不需要保护MVC应用程序，它只是运行你的Angular对吧？你需要保护的是API。

- Steve Sloka

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Haider · Accepted Answer

我用一个非常简单的解决方案解决了这个问题。我只需要在WebApiConfig的Register方法中确保有以下两行代码:

config.SuppressDefaultHostAuthentication();
config.Filters.Add(new HostAuthenticationFilter(OAuthDefaults.AuthenticationType));

这就完成了。现在我的MVC控制器会寻找会话cookie以进行授权，而我的Web API控制器会查找每个请求的标头中的auth token。此外，Web API会在响应登录/身份验证请求时发送一个token（JSON）和会话cookie本身，例如http:\\www.mydomain.com\token。

因此，现在我将我的登录请求发送到Web API以获取令牌和会话cookie。会话cookie将自动随每个请求一起发送，因此我不必担心我的MVC控制器的授权。对于Web API调用，我会在每个请求的标头中发送auth token，因为Web API控制器并不关心会话cookie是否发送到请求中。