一旦 Web API 验证了用户名/密码并创建了
JWT,JWT如何传回?我是否以某种方式将其添加到
HttpResponseMessage 对象?
常见的做法是成功时,服务的响应带有状态代码200 OK
响应头中,以及响应正文中令牌相关的数据
200 OK
Content-Type: application/json;charset=UTF-8
{
"access_token": "NgCXRK...MzYjw",
"token_type": "Bearer",
"expires_at": 1372700873,
"refresh_token": "NgAagA...Um_SHo"
}
客户端应用程序应如何将 JWT 传回?这是在
JSON 数据、附加到 URL、添加到标头?
使用访问令牌发出经过身份验证的请求
现在您有了令牌,您可以向 API 发出经过身份验证的请求。这可以通过设置 HTTP 来完成Authorization
请求中的标头或查询字符串取决于服务器的配置方式。
在标题中
Authorization: Bearer NgCXRK...MzYjw
作为参数
GET http://localhost:35979/v2/endpoint?access_token=NgCXRK...MzYjw
我看到很多参考 OWIN 和 OAUTH 的教程。这些是什么
为什么我需要它们?
OWIN — .NET 的开放式 Web 界面 http://owin.org/ http://owin.org/
OWIN 定义了 .NET Web 服务器和 Web 之间的标准接口
应用程序。 OWIN 接口的目标是解耦服务器和
应用程序,鼓励为 .NET Web 开发简单模块
开发,并通过成为开放标准来刺激开源
.NET Web 开发工具生态系统。
OWIN OAuth 2.0 授权服务器 http://www.asp.net/aspnet/overview/owin-and-katana/owin-oauth-20-authorization-server
OAuth 2.0框架使第三方应用程序能够获取有限的
访问 HTTP 服务。而不是使用资源所有者的
访问受保护资源的凭据,客户端获得
访问令牌(这是一个表示特定范围、生命周期的字符串,
和其他访问属性)。访问令牌颁发给第三方
客户端通过授权服务器获得资源的批准
所有者。