当安全令牌在 cookie 而不是授权时授权控制器上的属性 header

Authorize attribute on controller when security token is in cookie instead of authorization header

我正在尝试通过在 MVC6 中的控制器上使用 Authorize 属性来实现基于不记名令牌的验证。

我正在关注这个 post:

一个人把上面 post 中写的内容写到: https://github.com/mrsheepuk/ASPNETSelfCreatedTokenAuthExample

基于这个例子。如果客户端向服务器发送请求到装饰有 Authorize 属性的特定控制器,Authorize 属性将检查请求 header 调用授权,如果此 header 将具有有效令牌,则请求将通过,否则请求将是拒绝(如果我错了请在这里纠正我)

我想在这里做的是我想发送令牌而不是授权 header,而是在 cookie 中并从 cookie 中获取该令牌并验证它,同时仍在控制器上使用授权属性。

我该怎么办,我在看一个新的asp.net 5 功能授权策略,但他们似乎没有我需要的。有办法吗?

您必须为此编写自己的身份验证中间件,这并不是一个有趣的练习。

您还必须考虑如何将令牌放入 cookie 中,以及如何正确保护该 cookie。在客户端代码可用的 cookie 中有一个原始令牌,但至少没有签名,这是一个等待发生的安全漏洞。