У меня есть куча сайтов, которые настроены одинаково для использования поставщика удостоверений WIF. Недавно я перевел бизнес-логику из веб-приложений и в приложение для веб-приложений Api. Это выполняется в другом виртуальном каталоге на других сайтах. Идея состоит в том, что браузер будет помещать данные на страницу AJAXy.Использование Identity Foundation с WCF Web Api
Проблема, с которой я сталкиваюсь, заключается в обеспечении веб-API. Кажется, что однократная регистрация WIF работает с традиционными сайтами. Пользователь может получить доступ к одному веб-сайту, получить перенаправление на поставщика удостоверений, войти в систему и получить перенаправление обратно на веб-сайт, который им нужен. Когда они обращаются к другому сайту, они также перенаправляются обратно поставщику удостоверений, но не должны регистрироваться в качестве файла cookie FEDAUTH, поэтому они автоматически получают аутентификацию и перенаправляются на второй сайт.
Это не работает для сценария Web Api, потому что, когда браузер, возможно, делает GET, Api вернет перенаправление на вызывающий javascript, когда он ожидает JSON.
Можно ли даже защитить Web Api с помощью WIF?