Owin WebAPI承载令牌通过

Question

我在OWIN/web API/AngularJS应用程序中使用OAuth承载令牌认证流程。

我想要做的是重新使用在服务器上承载的令牌，并把它传递给第2个网络API服务（这也是由承载令牌保护，并使用相同的计算机密钥的另一台服务器上的其他服务）。我知道如何在C＃中创建一个不记名令牌，并使用HTTPClient将它添加到请求的头部 - 但是，如何才能使用我已有的不记名令牌（由浏览器请求传入）呢？这可能吗？

Answer 1

从技术上讲，这是可能的，但很少是一个好主意。你通常不会传递它，因为这会让你的后端API在中间攻击中暴露给人。在规范方法中，您将使用您收到的访问令牌返回权限并请求一个新的令牌，这次将限制在您的后端。一个例子见https://github.com/Azure-Samples/active-directory-dotnet-webapi-onbehalfof。