Web API控制器和MVC控制器 - 身份驗證

Question

我有一個MVC應用程序。它還使用Web API控制器公開的服務。

對於MVC和Web API的託管環境都是IIS。 在IIS身份驗證模式下設置爲匿名。

HttpModule用於將用戶的標識和角色設置爲Thread和HttpContext對象。

做所有的MVC控制器被正確調用，但Web API控制器返回401未經授權的錯誤。

在兩個控制器中都使用適當的授權屬性。

下面是用戶將用戶設置爲線程和上下文對象的代碼。

var principal = new GenericPrincipal(new GenericIdentity(userName), roles); 
       // contextBase.User = principal; 
       HttpContext.Current.User = principal; 
       Thread.CurrentPrincipal = principal; 

Answer 1

Web Api是基於REST的。其中，REST是無狀態的，這意味着沒有會話的概念。 MVC中的身份驗證通過會話進行處理，因此，在應用程序的MVC側進行簡單身份驗證對於Web Api方面沒有任何作用。

每個Web Api請求都必須具有完成該請求所需的所有信息，其中包括任何適用的認證/授權。通常使用API​​，這是通過在請求頭中傳遞身份驗證令牌來處理的，但有許多方法可以授權API請求。我建議只需searching for something like "web api authentication"並閱讀一下。

多空是授權網頁API端點需要從你的MVC網站認證不同的和獨立的過程。