我有一堆网站设置相同,以使用WIF身份提供程序。我最近将业务逻辑从Web应用程序中移出并放入Web Api服务应用程序中。它运行在与其他站点不同的虚拟目录中。这个想法是浏览器会把数据放入页面AJAXy。在WCF Web Api中使用Identity Foundation
我遇到的问题是保护Web API。 WIF单点登录似乎与传统网站无关。用户可以访问一个网站,重定向到身份提供商,登录并重定向到他们想要的网站。当他们访问另一个站点时,他们也会被重定向回身份提供者,但不需要登录,因为FEDAUTH cookie存在,所以他们会自动进行身份验证并重定向到第二个站点。
这对Web Api场景不起作用,因为当浏览器可能对它进行GET时,Api将返回重定向到调用JavaScript的时候它应该期待JSON。
它甚至有可能使用WIF来保护Web Api?