ASP.NET MVC4 Web API和会话变量

Question

在我的asp.net mvc4项目中，我使用ApiControllers为Web客户端和移动客户端提供服务。为了保护Web服务，我使用[Authorize]注释。 所以现在，网络客户端工作正常。但是，当我倾向于从移动应用程序（例如Android）调用某个Web API时，出现错误。 当我的代码片断回头一看：

[Authorize] 
    public List<double> GetSomeInfo(int param1, string param2) 
     { 
      User user = SessionData.CurrentUser; 
      // do something using user.UserId 
      // .... 

     } 

会话数据并持有，只有当他连接到Web应用程序的用户连接的属性。但对于移动客户端，会话数据为空。那么，有没有什么合适的方法来解决这个问题。 在我看来，我认为userId应作为任何Web API的参数提供，可能需要它来做一些处理。 你觉得呢？

Answer 1

你说的是两个不同的东西：

• 会议

正如达雷尔说，网络API并没有设计，支持Asp.net会话。 HTTP和Rest服务是无状态的 - 因此，每个HTTP请求都应该携带足够的信息，以便接收者对其进行处理，使其与HTTP的无状态特性完全一致。 因此，不要依赖会话变量，而是在请求中添加更多参数。 当然，在Web Api中有一种使用会话的方式，我建议你使用它。

• 认证

因为只有PARAMATERS（如用户ID，帐户ID，...）工作是不是很安全，你必须使用身份验证和授权。我强烈建议您阅读asp.net web api网站中的security section。 Web Api支持许多身份验证（基本，OAuth，Windows，自定义...）。你必须选择什么是最适合你的。

Answer 2

Web API的设计不支持会话，因为它们是HTTP反模式。如果您已设置必要的身份验证机制，则可以通过访问Thread.CurrentPrincipal来获取当前已通过身份验证的用户。