OAuth资源所有者密码流和HMAC

Question

我有一个web api应用程序，它实现了来自OAuth规范的资源所有者密码流。一切工作正常。

其实我使用的身份验证筛选这样

// Configure Web API to use only bearer token authentication. 
config.SuppressDefaultHostAuthentication(); 
config.Filters.Add(new HostAuthenticationFilter(OAuthDefaults.AuthenticationType)); 

由于我的一些客户的要求进行身份验证的不同方法，我估计一对夫妇的功能添加到我的服务配置我WebApiConfig课堂上的一切但stil并不清楚这些功能如何一起工作。

尤其是我在整个link中进行了摄像，它以非常简单的语言解释了如何在web api中实现HMAC认证。

我可以实现这种身份验证方法，让客户选择他想使用哪一个？他们能够凝聚在一起吗？

Answer 1

是的，你的web api服务可以在WWW-Authenticate挑战中发回多个方案。在你的情况下，它可以发回'持有人'和'hmac'。

另请参阅this question有关使用多个方案的更多信息。

顺便说一句，它不是你的web API服务，它支持资源所有者密码流。客户端使用此流从授权服务器获取令牌，以便与服务（资源服务器）一起使用承载方案。 HTH。