一起使用承载令牌和cookie身份验证

我有一个单页应用程序-或多或少基于MVC5 SPA模板-使用承载令牌进行身份验证。

该站点还具有几个需要保护的常规MVC页面，但使用cookie身份验证。

在Startup.Auth中，我可以启用两种授权类型：

app.UseCookieAuthentication(new CookieAuthenticationOptions());
app.UseOAuthBearerTokens(OAuthOptions);

但是，这似乎有一个副作用，就是每当从SPA发送AJAX请求时，它都会在标头和cookie中发送承载令牌。

而我真正想要的行为是仅将承载令牌用于WebAPI调用，仅将cookie用于MVC调用。

我还希望在未经授权时将MVC调用重定向到登录页面（设置为CookieAuthenticationOption），但是显然，我不希望在进行API调用时发生这种情况。

是否可以通过某种方法在一个应用程序中进行这种混合模式身份验证？也许通过路径/路由过滤器？

我想我已经解决了：

Startup.Auth正在连接OWIN管道，因此在其中包含Cookie和令牌是正确的。但是对cookie选项的一项更改指定了应应用于的身份验证类型：

CookieOptions = new CookieAuthenticationOptions
{
  AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie   
};

然后，我需要将WebAPI配置为仅使用令牌：

public static void Configure(HttpConfiguration config)
{
   // Configure Web API to use only bearer token authentication.
   config.SuppressDefaultHostAuthentication();
   config.Filters.Add(new HostAuthenticationFilter(OAuthDefaults.AuthenticationType));
}

这似乎实现了我想要的。WebAPI仅使用承载令牌而不使用cookie，并且一些常规的MVC页面一旦登录（使用AuthenticationManager）就使用cookie。

您可以在仅HTTP模式下将jwt令牌添加到cookie（这里的jwt令牌cookie名称为“ access_token”），然后制作一个像这样的中间件

public class JwtCookieMiddleware
{
    private readonly RequestDelegate _next;

    public JwtCookieMiddleware(RequestDelegate next)
    {
        _next = next;
    }

    public Task Invoke(HttpContext ctx)
    {
        if (ctx.Request.Cookies.TryGetValue("access_token", out var accessToken))
        {
            if (!string.IsNullOrEmpty(accessToken))
            {
                string bearerToken = String.Format("Bearer {0}", accessToken);
                ctx.Request.Headers.Add("Authorization",bearerToken);
            }
        }
        return this._next(ctx);
    }
}
public static class JwtCookieMiddlewareExtensions
{
    public static IApplicationBuilder UseJwtCookie(this IApplicationBuilder build)
    {
        return build.UseMiddleware<JwtCookieMiddleware>();
    }
}

您需要像这样在启动时使用中间件：

app.UseJwtCookie();
app.UseAuthentification();
app.UseMvc();

如果此请求带有令牌cookie，则上述代码会将jwt令牌添加到http请求标头中；