Webアプリケーションのowin oauthによるクライアントの匿名役割と識別

Question

私が直面している特定の状況のベストプラクティスを理解しようとしています。

Microsoft Web APIよりOWIN OAUTH 2ベアラートークン認証を実装しました。それは、あらかじめ定義された認証された「ユーザー」ロールとうまく機能します。

ここでは、認証されたユーザーと同様に、独自の生成されたGUIDを取得しながら、そのようなユーザーにいくつかのAPIアクションにアクセスできるようにするためのユーザーロールをサポートする必要があります（UserIdは、認証）。

これにより、各REST呼び出しのトークンクレームを介して匿名ユーザーに関する情報を取得できます。今の

、私はのために空の\非空の文字列を切り替えることで、これを実装しました：トークンを要求しながら、 grant_type =パスワード&のuserName = &パスワード= &のclient_id = 。

つまり、userNameが指定されていない場合は、ユーザーに「custom_anonymous」ロールを割り当てます。そうでなければ、ユーザーを認証して「user」ロールを割り当てます。

これは良い方法ですか？この目標を達成するためのより良い方法はありますか？

ありがとうございます！

Answer 1

いいえAllowAnonymousまたはAuthorizeでWebAPIを飾ることができます。承認が必要な場合

私もこれに挑戦しています https://docs.microsoft.com/en-us/aspnet/web-api/overview/security/authentication-and-authorization-in-aspnet-web-api