8
Tôi đã thấy một số cách để thiết lập hỗ trợ nhà cung cấp bên ngoài để xác thực trong ASP.NET Web API bằng cách sử dụng danh tính, tuy nhiên tất cả đều dựa vào cookie, được đặt sau người dùng được nhà cung cấp bên ngoài ủy quyền thành công (được gọi là "AspNet.External"), sau đó nó được chuyển tiếp tới điểm cuối mã thông báo trên chính API Web.API Web API của nhà cung cấp bên ngoài ASP.NET không có cookie
Có cách nào để phá vỡ điều này và sử dụng xác thực bên ngoài với ASP.NET Web API mà không cần sử dụng cookie không? Lý do cho mối quan tâm này là tôi muốn tích hợp xác thực này trong ứng dụng dành cho thiết bị di động của mình, nhưng người dùng có thể vô hiệu hóa cookie bất kỳ lúc nào, khiến ứng dụng của tôi không sử dụng được.
Trong dự án asp.net thường xuyên, bạn có thể sử dụng phiên cookie sử dụng 'url', tức là định danh duy nhất để xác định một phiên được gắn thẻ để URL dưới dạng chuỗi truy vấn. Tôi hy vọng nếu bạn có thể có được ví dụ như vậy trong api web, điều đó sẽ giải quyết mục đích của bạn. –
Nó không rõ ràng với tôi những gì bạn đang yêu cầu ở đây. Mỗi yêu cầu phải tự xác định bằng cách nào đó, và đó thường là với một cookie vì đây là cách an toàn nhất để làm điều đó. Bạn có thể sử dụng tham số chuỗi truy vấn, nhưng điều đó rất không an toàn vì truy vấn được ghi lại trong nhật ký định tuyến và proxy, cũng như nhật ký máy chủ. –
Có, tôi hiểu rằng yêu cầu cần một cách để được xác định, nhưng tôi không chắc liệu cookie có phải là cách tốt nhất để làm điều đó hay không, bởi vì với cookie bị vô hiệu hóa, xác thực sẽ không hoạt động. Hoặc cookie sẽ được lưu tạm thời trong WebView ngay cả khi chúng thực sự bị vô hiệu hóa? Quan điểm của tôi là đảm bảo xác thực sẽ hoạt động trên tất cả các thiết bị. –