asp.net-mvc – 客户端存储的身份验证令牌在哪里？

但是,对于API身份验证,身份验证机制可能不同.每个呼叫都可以独立验证.因此,无需为客户端维护令牌.每个API调用的Authorization标头应该有一些服务器可以识别的秘密.亚马逊AWS使用这种API身份验证方式,其他许多方式也遵循这种风格.使用webapi,您可以实现此类身份验证.

>客户端具有由服务器发布的帐户的私钥,或者由用户导入帐户的服务器.

2.客户端像往常一样调用API,但将一些信息放入Authorization标头中.该信息将是与客户的帐户ID和日期混合发送的数据的HMAC.

以下是HTTP API中的授权标头的外观

Authorization: account-id  HMAC_OF_WITH_SECRET_KEY(data + account-id + GMT Date that will be in date header)

3.在服务器端(WebApi端),您需要为WebApi控制器提供自定义AuthorizeAttribute.这些自定义身份验证将接收来自客户端的请求,并反转客户端所做的事情.服务器具有客户端私钥,它可以在客户端完成时排列数据并再次计算HMAC.如果此HMAC与Authorization标头中发送的HMAC相同,则它是帐户或用户标识的身份验证客户端.请注意,授权标头具有帐户ID HMAC密钥.因此,在此标头服务器中使用account-id或user-id可以知道哪个客户端正在请求.

此机制涵盖身份验证和数据完整性.