私は、WIFアイデンティティプロバイダを使用するように設定された多数のWebサイトを用意しています。私は最近、ビジネスロジックをWebアプリケーションからWebアプリケーションサービスアプリケーションに移行しました。これは、他のサイトとは異なる仮想ディレクトリで実行されます。アイデアはブラウザがAJAXyページにデータを入れることです。WCF WebでIdentity Foundationを使用する
問題は、Web APIをセキュリティで保護することです。 WIFシングルサインオンは従来のサイトではうまくいくようです。ユーザーは1つのWebサイトにアクセスし、IDプロバイダーにリダイレクトされ、ログインして、必要なWebサイトにリダイレクトされます。彼らが別のサイトにアクセスすると、アイデンティティプロバイダにリダイレクトされますが、自動的に認証されて2番目のサイトにリダイレクトされるように、FEDAUTHクッキーが存在するためログインする必要はありません。
これは、ブラウザがおそらくGETを行ったときに、JSONが必要なときにApiが呼び出し側のJavaScriptにリダイレクトを返すため、Web APIのシナリオでは機能しません。
Web ApiをWIFで保護することは可能ですか?