1
Мы создаем приложение ASP.NET MVC с проверкой подлинности Windows. Затем он вызывается на уровень ASPAP WebAPI, расположенный на другом сервере.Проверка подлинности Windows при вызове приложения MVC WebAPI
У нас нет включенной Kerberos, поэтому предположим, что аутентификация с этим будет осуществляться через некоторую форму Basic auth. Мы также хотим использовать членство/идентификатор ASP.NET для управления ролями. Вся связь с базой данных членства будет осуществляться через WebAPI.
Может ли кто-нибудь дать указания о том, как лучше всего обрабатывать выдачу токенов аутентификации для связи между приложениями MVC и WebAPI и как атрибуты авторизации могут использоваться на обоих уровнях?
Спасибо, @Taiseer. Это было полезно, но часть, с которой я борюсь, заключается в том, как взять имя пользователя Windows на стороне MVC и использовать это как что-то проверяемое для вызова API. Приложение MVC распознает пользователя Windows, но для доступа к API для доступа к API-интерфейсу ASP.NET не существует ни пароля, ни аналогичного. Просто передача имени пользователя не ударяет меня как безопасный. Любой пользователь может вызвать API напрямую с именем пользователя и выдать себя за вызов. –