Ciao,
per darti un consiglio preciso devo capire bene il tuo scenario.

La web api che hai costruito è a tuo unico uso e consumo (es. la chiami dalle altre pagine dell'applicazione), oppure viene anche usata da altre applicazioni esterne?

Se viene usata solo da te e dalla tua applicazione, allora puoi anche fare a meno del token jwt e usare solo l'autenticazione con i cookie. Tanto, il browser i cookie li reinvia sia che si tratti di una normale richiesta di pagina che di una richiesta ajax.

Se invece ci sono altre applicazioni che usano la tua api, allora penso che tu debba supportare sia l'autenticazione con cookie e sia l'autenticazione con token jwt.

• Nella tua applicazione che ha un mix di controller MVC/WebAPI usi solo l'autenticazione con cookie;
• Dalle altre applicazioni, invece, otterrai il token JWT.

Avete qualche esempio?

L'esempio ui-and-webapi-auth che trovi allegato al libro ha già tutto quello che ti serve.
Semplicemente, devi modificare l'attributo Authorize che ho messo sullo UsersController.
Da così:

A così:

In questo modo, allo UsersController andrà bene ogni tipo di autenticazione. A quel punto non ha importanza se l'utente si era autenticato con cookie o con token JWT.

Dopo aver fatto questa modifica esegui l'applicazione, clicca il link Login che si trova in alto a destra, poi autenticati e, quando ti sei loggato, digita questo nella barra degli indirizzi del browser:


Vedrai che otterrai risposta anche senza aver fornito il token. L'autenticazione avviene perché il browser include automaticamente il cookie di autenticazione nella richiesta.


ciao,
Moreno

---

Modificato da BrightSoul il 20 luglio 2019 11:19 -

Ciao
Volendo implementare un attributo custom di autorizzazione come intercettare i valori relativi all’autorizzazione? La action sarebbe chiamata sia da maschera sia come servizio