Аутентификация и авторизация через веб-интерфейс веб-API, доступ к которому осуществляется через веб-приложение ASP.NET и мобильное приложение iOS

Question

Я собираюсь приступить к работе над новым веб-приложением ASP.NET MVC, которое я намерен создать мобильную версию iOS также.

Я планирую использовать MVC 4 Web API в качестве уровня обслуживания, который будет располагаться перед бизнес-уровнем и получить доступ как к веб-приложению, так и к мобильному приложению.

Я немного запутался, однако, о том, как я буду реализовывать аутентификацию и авторизацию в этой архитектуре.

Обычно в приложении MVC, когда пользователь отправляет правильные учетные данные, я хотел бы сделать вызов

FormsAuthentication.SetAuthCookie(username, false); 

, который будет создавать печенье, который затем будет передан назад и вперед от одного запроса к другому, чтобы сохранить сеанс пользователя в приложении.

Я смущен относительно того, как это будет функционировать через сервисный уровень при доступе из веб-приложения. Или как он будет функционировать, когда услуга вызывается из мобильного приложения.

Answer 1

Вы можете проектировать свой веб-API таким образом, чтобы для каждого запроса требовалось, чтобы файлы cookie для проверки подлинности были отправлены. Затем вы должны использовать этот файл cookie, чтобы извлечь из него имя пользователя, прошедшего проверку подлинности.

Но при разработке API обычно лучше использовать некоторые другие способы аутентификации, чем файлы cookie. Например, вы можете использовать HTTP-заголовок Authorization, где клиент должен будет отправить зашифрованное значение билета проверки подлинности форм.

Вы также можете взглянуть на following article о безопасности на основе токенов.