如何解决ASP.NET Core Web API操作的永久承载令牌身份验证
我有一个有效的ASP.NET Core 3.1 Web API,我想限制对某些控制器中特定操作的访问。
此API没有有效的人工或网络浏览器使用者,因此没有cookie,也不需要标准的质询/响应身份验证模型。我只想确保允许任何调用某些操作的人这样做。
由于控制器的动作是如此原子,我希望我可以实现简单的东西,或者至少比复杂的,基于角色的外部身份服务更简单。这就是导致我阅读有关承载令牌的原因,在那里我阅读了非常有用的指南,例如this stack overflow answer和this JWT overview。
但是,这些模型似乎将令牌视为对永久的常规用户名/密码凭据的临时替换凭据。
用永久性承载令牌代替它建模会很困难吗?这将大大简化大多数授权流程和管理,因为消费类应用程序仅在Web API吊销了它们之后才需要请求新令牌。而且由于身份验证是在操作级别进行的,因此对于永久令牌而言,一个简单的“是/否”访问答案似乎非常适合,该令牌不需要长期的索赔或角色管理。
我不知道我是在错误地还是天真地思考,但这是我的问题。使用永久性承载令牌是否合理?如果是,如何在ASP.NET Core 3.1中实现它?
谢谢!
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com(将#修改为@)