Mã thông báo truy cập API Web sẽ được lưu trữ như thế nào?

Question

Có một số chủ đề tương tự ở đây trong Stackflow nhưng tôi thấy không ai trong số họ đã trả lời câu hỏi của tôi.

ASP.NET Web API 2 là những gì chúng tôi sử dụng ngay bây giờ. Tôi hiện có thể chấp nhận yêu cầu xác thực CORS từ WebAPI của tôi. Với mã thông báo truy cập được gửi cùng trong tiêu đề Authorization (Gấu xxx), tôi có thể truy cập các tài nguyên được bảo vệ bởi [Authorize] thẻ.

Vấn đề là, làm cách nào để triển khai chức năng tương tự hộp kiểm "Nhớ thông tin đăng nhập của tôi" trong biểu mẫu đăng nhập thông thường? Tất cả những gì chúng tôi muốn là người dùng không cần phải đăng nhập lại lần sau khi truy cập trang web của chúng tôi. Mã thông báo truy cập chỉ cho một phiên không? Làm cách nào để WebAPI2 đặt hết hạn mã thông báo? Làm cách nào chúng tôi có thể lưu một số thông tin trong phiên hoặc sử dụng bộ nhớ cục bộ để lưu trữ thông tin xác thực như vậy? Khi chúng tôi lưu trữ mã thông báo này ở phía máy khách, chúng tôi có cần một số loại mã hóa để bảo vệ nó không?

Đề xuất của bạn trong việc triển khai chức năng "Nhớ thông tin đăng nhập của tôi" là gì?

Answer 1

Nhà cung cấp xác thực của bạn nên cung cấp cho bạn chức năng để thực hiện việc này. Việc này rất đơn giản nếu bạn sử dụng nhà cung cấp thành viên ASP.Net:

FormsAuthentication.RedirectFromLoginPage(strUserName, true); 

"Đúng" ở trên, đặt cookie lâu dài.

Khi bạn sử dụng CORS và gửi cookie xác thực cho WebApi của bạn, WebApi không quan tâm liệu xác thực có từ cookie "Nhớ thông tin đăng nhập của tôi" cũ hay từ thông tin đăng nhập mới. Tất cả những gì bạn quan tâm là giá trị cookie được truyền trong tiêu đề Cấp phép hợp lệ.

Đối với mã hóa cookie, đây cũng là điều mà nhà cung cấp xác thực của bạn sẽ đưa bạn ra khỏi hộp.

Answer 2

"Vấn đề là, làm thế nào tôi có thể thực hiện một chức năng tương tự như một 'Remember me' hộp kiểm trong biểu mẫu đăng nhập thường xuyên?"

Lưu token trong localStorage clientside khi "Remember me" được chọn => Khi tab/trình duyệt được đóng, mã thông báo vẫn còn hoạt động và lần tiếp theo bạn được tự động đăng nhập

Lưu mã thông báo trong bộ nhớ phiên khách hàng khi "Nhớ thông tin đăng nhập của tôi" không được chọn => Mỗi khi bạn đóng tab/trình duyệt bộ nhớ phiên bị xóa. Lần sau bạn kiểm tra mã thông báo nó không tồn tại. Do đó, bạn phải đăng nhập lại ...

"Tất cả những gì chúng tôi muốn là người dùng không cần phải đăng nhập lại lần sau khi truy cập trang web của chúng tôi".

Xem câu trả lời ở trên!

Chỉ có mã thông báo truy cập cho một phiên không?

CÓ một tab trong trình duyệt là một phiên.

WebAPI2 đặt hết hạn mã thông báo như thế nào?

Bạn đặt thời gian khi mã thông báo hết hạn!

Cách chúng tôi có thể lưu một số thông tin trong phiên hoặc sử dụng bộ nhớ cục bộ để lưu trữ thông tin xác thực như vậy?

Chỉ lưu trữ thẻ được mã hóa về phía khách hàng không bao giờ userid/mật khẩu

Khi chúng tôi lưu trữ thẻ này ở phía khách hàng, chúng ta cần một số loại mã hóa để bảo vệ nó?

Mã thông báo được mã hóa ở phía máy chủ sau đó được gửi tới máy khách cho mọi yêu cầu. Máy khách không cần đọc mã thông báo. Khách hàng chỉ cần gửi nó với yêu cầu everry thats it.