ASP.NET Web APIの認証について

「認証後のトークンはどこで保存され、どのようにリクエストに含めるのか？」
認証についてわからないことばかりなので教えてください。。

■構成
webクライアント→webサーバ→認証サーバ
※イントラに接続しないサービス

■質問内容
１．クライアントは認証サーバからトークンを受け取った後、そのトークンをどこに保存しておくのでしょうか？

２．webサーバのasp.net web api のcontrollerに[Authorization]をつけることで、認証が通ったユーザのみ、web apiを利用できるようになります。
トークンの情報はどこに含めるのでしょうか？クライアントからのリクエストヘッダに毎回含めるのでしょうか？

よろしくお願いいたします。

退会済みユーザー

2018/01/30 13:22

認証方式は何ですか？

zun-zun

2018/01/30 13:48

OAuth2です。回答になっていますでしょうか？？

退会済みユーザー

2018/01/30 14:16

> OAuth2です ←とすると、すみませんが分かりません。Cookie 以外にないとは思うのですが定かではないです。

zun-zun

2018/01/30 22:51

ありがとうございます、自分でももう少し調べてみます！

退会済みユーザー

2018/01/30 23:04

Fiddler などのキャプチャツールを使って要求・応答ヘッダの中身を調べてみてはいかがでしょう。認証 Cookie がやり取りされているのではないかと思います。

zun-zun

2018/02/02 02:33

ありがとうございます。2については解決しました。F12でよく見たら2については

zun-zun

2018/02/02 02:34

F12でよく見たらヘッダにauthorizationが加えられていました。

行動規範の内容に同意します

回答1件

今頃何ですが、Web API 認証とかでググるとこの記事がヒットするので、その後調べて分かったことを書いておきます。

Visual Studio 2015 の Web API のテンプレートで作ったプロジェクトの場合はクッキーではなく、要求ヘッダに含めてサーバーに送信するトークンを使うようです。

以下の記事からリンクが張ってある GitHub のサンプルコードをダウンロードして、その中の app.js を見てもらうと参考になると思います。

Secure a Web API with Individual Accounts and Local Login in ASP.NET Web API 2.2
https://docs.microsoft.com/en-us/aspnet/web-api/overview/security/individual-accounts-in-web-api

ASP.NET Identity でユーザー登録してあるとして、登録済みの email とパスワードを /Token に POST 送信するとトークンが返ってきます。

それを sessionStorage に保存し、Web API に要求を出す際、要求ヘッダに、

Authorization: Bearer rEIpOi...VDI_

というように含めて送信してやります（上で、rEIpOi...VDI_ がトークン）。

紹介した記事は、SSL 関係など Web API の認証とは直接関係のないことがいろいろ書いてあって分かり難いところがあるかもしれませんが、基本的には以下のスクリプトように、getToken でトークンを得て、apiGeroesGet のようにしてトークンを送って認証が通ります。

@section Scripts {
    <script type="text/javascript">
    //<![CDATA[
        var tokenKey = 'accessToken';

        function getToken() {
            var email = document.getElementById("email").value;
            var password = document.getElementById("password").value;

            var loginData = {
                grant_type: 'password',
                username: email,
                password: password
            };
            $.ajax({
                type: "POST",
                url: "/Token",
                data: loginData,
                success: function (data) {
                    sessionStorage.setItem(tokenKey, data.access_token);
                },
                error: function (jqXHR, textStatus, errorThrown) {
                    // ・・・中略・・・
                }
            });
        }

        function apiHeroesGet() {
            var token = sessionStorage.getItem(tokenKey);
            var headers = {};
            if (token) {
                headers.Authorization = 'Bearer ' + token;
            }

            $.ajax({
                type: "GET",
                url: "/api/values",
                headers: headers,
                success: function (data, textStatus, jqXHR) {
                    // ・・・中略・・・
                },
                error: function (jqXHR, textStatus, errorThrown) {
                    // ・・・中略・・・
                }
            });
        }
    //]]>
    </script>
}

投稿2018/12/15 11:50

退会済みユーザー

総合スコア0

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

まだベストアンサーが選ばれていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.31%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう！

ASP.NET Web APIの認証について

関連した質問