>基于Cookie的方法这是传统的方式，您可以使用标准表单来验证用户，然后设置表单身份验证cookie。所有未经授权的请求都将用户登录页面。如果您的API始终由UI前端支持，请使用工作登录此方法。
>第二是在请求的头部使用授权令牌。一旦用户通过身份验证，他将获得一个验证令牌，他必须附加到授权HTTP头中的每个后续请求。在这里了解更多信息Individual Accounts in ASP.NET Web API .这里的优点是您可以暴露您的API而不需要登录页面。

但请记住，当使用第二种方法时，必须将客户端存储在所有后续请求中，才能存储该认证令牌。看看这个博客文章Cookies vs Tokens. Getting auth right with Angular.JS了解如何使用令牌。

希望它有帮助。