Kann ich abrufen userinfo von Inhaber-token auf der server-Seite — web-api 2?

Hier ist mein Szenario: ich habe eine MVC web Anwendung und Web-API. Web-Anwendung, die Aufrufe an web-api zum speichern/abrufen von Daten vom server.

Können sagen, dies ist ein Frage/Antwort Portal. Jetzt habe ich eine API, die gibt mir die userid, wenn ich Benutzername, Kennwort. Aber es gibt andere Bereiche in die website und Ihr einfach abrufen eines anderen Benutzers "userid". Ich werde mich immer an die userid in der session-Speicherung und das senden, dass in der POST-Objekt, wo es erforderlich ist. Nun kann jeder Benutzer einstellen können, die userid in der session-Speicherung und Sie können die Frage/Antwort im Namen der anderen user.

Wie kann ich dies verhindern? Ein Ansatz, den ich dachte, war aber nicht sicher, ob dies durchführbar ist die Lösung - können wir abrufen des userid von der mitgelieferten bearer-token auf dem server?

InformationsquelleAutor Pritam Karmakar | 2015-03-22
  1. 13

    Sicher, dass Sie dies tun können, nachdem Sie eingerichtet-token basierende Authentifizierung in der Web-API mit der Ressource Besitzer credential flow, und wenn Sie das Attribut, das Sie geschützt Controller mit [Authorize]. Die gültigen bearer-token senden Sie diese geschützten endpoint erstellen ClaimsPrincipal AUFTRAGGEBER (Identität) - Objekt, in dem der Benutzer gespeichert ist, können Sie den Benutzernamen als unten:

    [RoutePrefix("api/Orders")]
public class OrdersController : ApiController
{
    [Authorize]
    [Route("")]
    public IHttpActionResult Get()
    {
        ClaimsPrincipal principal = Request.GetRequestContext().Principal as ClaimsPrincipal;

        var Name = ClaimsPrincipal.Current.Identity.Name;
        var Name1 = User.Identity.Name;

        return Ok();
    }

}

    Weitere ausführliche Informationen, Lesen Sie meine ausführliche Beiträge über dieses Thema hier.

    • Hi Taiseer - vielen Dank für Ihre Antwort. Ich mochte Ihre blog und lernen neue Sachen über Web-API. Für diese Frage, Immer diese Fehlermeldung - " System.Net.Http.HttpRequestMessage' enthält keine definition für 'GetRequestContext'. Wirklich zu schätzen wissen, wenn Sie einige Eingaben.
    • Vorherige Problem gelöst, indem die fehlenden namespace Antwort darauf gefunden hier stackoverflow.com/questions/27897235/...
    • Eine Letzte Sache zu prüfen..ich will hinzufügen, um eine neue Behauptung der Identität wie ClientId in "GrantResourceOwnerCredentials" - Methode. Habe ich gemacht aber wenn ich lese "ClaimsPrincipal" es nicht haben, dass.
    • Ich bin immer Null Benutzers.Identität.Name; Bitte beraten.
    • bitte überprüfen Sie diese: stackoverflow.com/questions/26046441/... vielleicht haben Sie vergessen, um die richtige Forderung
    • Dank für die Antwort. Meine web-client und die api sind in verschiedenen server, der noch über dem Ansatz arbeiten, oder nicht ?

    InformationsquelleAutor Taiseer Joudeh
Schreibe einen Kommentar