Разрешение авторизации маркера WebAPI

В настоящее время я использую сеансы и переопределяю AuthorizeAttribute для управления авторизацией для конечной точки WebAPI, которая используется веб-приложением MVC. Мне сказали, что выдавать токены - лучший способ управлять пользователями и ролями. Я пытаюсь понять:

  • Почему это лучше, чем использование сеанса?
  • Может ли кто-нибудь предоставить хороший (простой) пример того, как выдавать токены, когда пользователь регистрируется с использованием конечной точки WebAPI и как использовать/отслеживать токен после его выпуска.

Я изучал OWIN и кучу других вещей, и мне сложно найти хороший пример того, как это работает.

Ответ 1

  • Токены более безопасны и встроены в структуру ASP.Net Identity. Не нужно откатывать свое собственное решение.
  • Посмотрите разделы "Получить токен доступа" и "Отправить аутентифицированный запрос" по этой ссылке: http://www.asp.net/web-api/overview/security/individual-accounts-in-web-api. Конечная точка уже настроена в шаблоне MVC по умолчанию. Вы также можете использовать PostMan для тестирования.