Web APIトークンを使用してMVCクライアントを認証

Question

現在、私はIDフレームワークを使用してWebAPIプロジェクトを作成しており、APIで認証するときに返されるセットアップトークンを持っています。

これで、ユーザーがWebAPIを呼び出してバックエンドデータを取得できるスタンドアロンのMVCアプリケーションを作成する方法を検討しています。

目的は、他のアプリケーションもWeb呼び出しを通じてバックエンドデータとやり取りできるように機能を分離することです。

これで、WebAPIから受け取ったトークンを持つコントローラのAuthorize属性を使用できるように、MVCプロジェクトをセットアップする方法が混乱しています。 Startup.Auth.csのConfigureAuthメソッドでベアラトークンを有効にする必要があると思います。しかしそれで十分でしょうか？また、クッキー認証を有効にする必要がありますか？

Answer 1

MVCとWeb Apiは、認証に関して基本的に異なります。 Web Apiでは、ベアラトークンをリクエストのヘッダーに設定する必要がありますが、すべてのAPIリクエストがクライアントによってプログラムによって実行されるため、問題はありません。つまり、リクエストを認証するためにクライアントを設定する人間の介入があります。正しく。

MVCは、一般的にWebブラウザ経由でアクセスされ、要求ヘッダーにベアラトークンを自動的に付加しないという点で、異なる獣です。それは何ですか doはサーバーによって設定されたパスクッキーです。そのため、Cookie認証はMVC Webアプリケーションに最も一般的に使用されます。

あなたがすべきことは、MVCサイトのCookie認証を有効にし、サインインアクションを設定してWeb API経由で認証することです。 Web APIから有効な認証情報が返ってくると、Identity API経由でユーザーに手動でサインインすることができます。

await SignInManager.SignInAsync(user);