我的 Web Api 站点有一个 AccountController,它使用登录的默认实现:
// POST: /Account/Login
[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)
{
if (!ModelState.IsValid)
{
return View(model);
}
// This doesn't count login failures towards account lockout
// To enable password failures to trigger account lockout, change to shouldLockout: true
var result = await SignInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, shouldLockout: false);
switch (result)
{
case SignInStatus.Success:
return RedirectToLocal(returnUrl);
case SignInStatus.LockedOut:
return View("Lockout");
case SignInStatus.RequiresVerification:
return RedirectToAction("SendCode", new { ReturnUrl = returnUrl, RememberMe = model.RememberMe });
case SignInStatus.Failure:
default:
ModelState.AddModelError("", "Invalid login attempt.");
return View(model);
}
}
这适用于网络,但如果我使用客户端应用程序,如 UWP
或 Xamarin
如果我想在不使用 的情况下登录,这将成为一个问题code>WebView
因为它看起来像 Web Api
耦合到网络,因为它依赖于在 View 中生成并回发的 anti-forgery
token 在提交。假设我希望该客户端应用程序像我看到的大多数移动应用程序一样仅使用文本框和提交按钮进行登录。它们通常不会弹出 WebView
。
创建另一种没有防伪 token 的用户登录方法的唯一解决方案是什么?这看起来有点困惑,并且没有很好地遵循 DRY 原则,更不用说潜在的安全风险了。
最佳答案
解决方案是通过向/Token 端点发送 POST 并覆盖 ApplicationOAuthProvider 以允许客户端访问来完全绕过防伪 token 。有关详细信息,请参阅此堆栈交换:
关于c# - 防伪 token Web Api 2,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43175734/