现在,我想要的是为应用程序提供API机制来登录并获取身份验证令牌。具体来说,我正在研究两个移动应用程序进行测试,一个使用Angular / Cordova,另一个使用Xamarin。
我看起来很高低,我似乎找不到一个例子,显示如何使这项工作。我到目前为止发现的每一个例子都假定用户将通过正常的Web表单/后期循环进行登录,然后被带到加载Angular的页面,并且认证令牌已经在浏览器中。
下面是MVC控制器的AccountController.cs文件的相关代码。我最终想要的是等效功能,但是来自纯API调用,允许Angular / Xamarin发送一个用户名/密码并获取身份验证令牌或失败。
// POST: /Account/Login
[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
public async Task<IActionResult> Login(Loginviewmodel model,string returnUrl = null)
{
ViewBag.ReturnUrl = returnUrl;
if (ModelState.IsValid)
{
// This doesn't count login failures towards account lockout
// To enable password failures to trigger account lockout,set shouldLockout: true
var result = await SignInManager.PasswordSignInAsync(model.Email,model.Password,model.RememberMe,shouldLockout: false);
if (result.Succeeded)
{
return RedirectToLocal(returnUrl);
}
if (result.RequiresTwoFactor)
{
return RedirectToAction("SendCode",new { ReturnUrl = returnUrl,RememberMe = model.RememberMe });
}
if (result.IsLockedOut)
{
return View("Lockout");
}
else
{
ModelState.AddModelError(string.Empty,"Invalid login attempt.");
return View(model);
}
}
// If we got this far,something Failed,redisplay form
return View(model);
}
使用ASP.NET MVC 6来保护Web API的推荐方法是什么?
解决方法
我认为你的应用程序不是一个实时应用程序,因为ASP.NET 5和MVC 6都没有在最后的发布阶段。所以如果你可以改变你的身份认证过程,你可以使用Thinktecture的IdentityServer3。
多米尼克·贝尔(Dominick Baier)曾在The State of Security on ASP.NET 5 and MVC 6和IdSvr3上映。该博客具有到用于示例API控制器的Github存储库的链接以及API客户端。它还有一个MVC Web应用程序的示例。 And it can work with Asp.Net Identity.
更新:
如果这不适合你,你可以尝试AspNet.Security.OpenIdConnect.Server.请注意,它在Github上有开放的问题,所以你可能会遇到使用它的问题。还要注意它的依赖,特别是azureadwebstacknightly。
请注意,ASP.NET 5和MVC 6可能处于稳定的beta版本,但仍处于beta版本。它仍然可以改变。
此外,IdSvr3 v2.0可能在其最终版本中,但由单独的团队开发。而且它只在2周前才被发布,所以IM HO喜欢大多数软件,你可能会遇到可能错过测试的东西。请注意07005,上周,tweeted关于IdSvr3的(v2.0)版本,所以看来他们赞同它。
