Я создаю приложение с одностраничным интерфейсом MVC4 и WebAPI на другом компьютере, которое возвращает данные запроса json непосредственно в браузер. Аутентификация происходит на стороне MVC, где создается пользовательский объект, который определяет набор разрешений «canDoX» для текущего пользователя.Как защитить WebAPI с одной страницей
Проблема заключается в том, как защитить доступ к действиям WebAPI на основе этих разрешений без повторной аутентификации и авторизации пользователя заново, когда он получает запрос со страницы .js.
Как можно заметить, пользователь должен знать о апи, но если бы они сделали, они могли взломать URL и запрос любые данные, которые они хотят от '/api/myController/myRestrictedAction/123'
Любые идеи? Должен ли я отказаться от одностраничной идеи и просто вызвать webAPI с контроллера MVC?