У меня есть несколько сайтов, которые настроены одинаково для использования провайдера идентификации WIF. Недавно я переместил бизнес-логику из веб-приложений в приложение-службу Web Api. Это выполняется в другом виртуальном каталоге для других сайтов. Идея в том, что браузер поместит данные на страницу AJAXy.
У меня проблема с защитой веб-API. Кажется, что единый вход WIF работает нормально с традиционными сайтами Пользователь может получить доступ к одному веб-сайту, перенаправиться к провайдеру идентификации, войти в систему и вернуться на нужный веб-сайт. Когда они получают доступ к другому сайту, они также перенаправляются обратно провайдеру идентификации, но им не нужно входить в систему, поскольку существует файл cookie FEDAUTH, поэтому они автоматически проходят проверку подлинности и перенаправляются на второй сайт.
Это не работает для сценария Web Api, потому что, когда браузер, возможно, выполняет GET, Api вернет перенаправление на вызывающий javascript, когда он должен ожидать JSON.
Можно ли даже защитить Web Api с помощью WIF?