私はASP.NETアプリケーションでODataエンドポイントを実装しており、今は認証部分で作業しています。私はhttp://odata.github.io/WebApi/05-01-basic-auth/の例を見て、HTTP基本認証を実装しました。しかし、この例では、RESTful APIで一般的なカスタム認証を実装する方法であるとの印象を与えていますが、この例は私にとって非常に奇妙に見えます。ASP.NET OData/Web API認証とドキュメント
例えば:
それはあなたが承認を実装することになっているパイプラインのステージ上で認証を実装しています。私の理解では、OnAuthorizationが呼ばれると、あなたはすでにプリンシパルセットを持っているはずです。唯一残されているのは、プリンシパルが要求されたアクションを実行するのに十分なアクセス権を持っているかどうかをチェックすることです。
IsAuthorizedへの呼び出しとは何ですか?それは副作用のない方法ではないと思われますか?
だから私は基本的に物事を行うにはb)のハックが、安全な方法、これは物事を行うにはa)の正しい方法であるかどうかを確認するためにASP.NETのWeb APIをよりよく知っている誰かからチェックしたいと思いますかc)プロダクションコードに決して存在してはならない危険なもの。