React.js + WebApi.NET. Подскажи как сделать авторизацию?

Question

[Михаил Плюснин]

Начал изучать React.js, пока проблем нету. И думаю скоро я доберусь до авторизации, как это все сделать и увязать с WebApi .NET?

Answer 1

[Максим]

Что делает WebApi .NET ? Как оно будет авторизовывать?

В общих словах:
Если по токену - то проблем нет. Делаете форму, отправляете данные - получаете в ответе токен. Токен храните как-нибудь, например в localStorage. На логаут токен очищаете. На "expired" - либо просто просите снова залогиниться, либо используете refresh-токены (сам с рефрешем не заморачивался).

Если не по токену, то почему и зачем?

Comments

[Михаил Плюснин]

НУ WebApi.Net это бэкенд, а на клиенте React

[Михаил Плюснин]

ну по идее, человек снизу правильно ответил, как оно будет авторизовывать, моя проблема в том, где как раз хранить данные об авторизации? Причем, если я вдруг захочу хранить не только авторизован или не авторизован, а еще допустим роль или еще какую-либо информацию о пользователе?

[Максим]

для этого отлично jwt-token подходит. https://jwt.io/

Answer 2

[Андрей]

WebAPI обычно авторизуется через Bearer Token. У вас должен быть публичный контроллер, который в обмен на правильную пару логин-пароль выдает эти токены. Другие контроллеры следует пометить атрибутом [Authorize] и при каждом обращении к ним передавать в заголовках запроса этот токен:

Authorization: Bearer <значение токена>

Где хранить токен на клиенте - решайте сами. Это может быть localStorage, куки, или просто локальная переменная.

Comments

[Михаил Плюснин]

а чисто теоретически, не опасно ли хранить этот токен постоянно на клиенте?

[Михаил Плюснин]

по умолчанию вроде бы .NET хранит токен в куках, но я могу путать с MVC .NET

[Андрей]

Михаил Плюснин: не более опасно, чем обычная авторизация через формы. Токен - это почти то же самое, что идентификатор сессии. Правда, в нем зашифрован id юзера и все custom claims, но пароля быть не должно. Разумеется, для приложений уровня онлайн-банка вам понадобятся дополнительные способы защиты от угона сессии, но для обычного сервиса хватит.