如何从RESTful服务发送安全令牌？

Question

我正在使用带有自定义令牌身份验证的RESTful Web构建一个ASP.NET服务。客户端将在第一次呼叫时发送凭据。该服务将使用用户详细信息创建一个加密的令牌，从现在起将使用此令牌进行身份验证。现在，服务需要将此令牌发送回客户端。最初，我将令牌保存在HTTP自定义响应头中，以便客户机能够独立于服务返回的数据读取值。当客户端和服务位于同一个域中，但在跨域场景中失败时，这种方法工作得很好。我启用了CORS，并添加了各种标题，如“访问控制-公开-标题”、“访问控制-允许-原产地：*”等。但是跨域客户端无法读取我创建的自定义响应标头，即"SecureToken:“。我在几篇文章中看到，在跨域场景中，web浏览器在读取自定义响应头时遇到了一些问题。因此，现在我正在考虑通过服务发送的所有ViewModel/数据对象的公共基类发送安全令牌。

在此背景下，我有几个问题：

1. 发送自定义安全令牌的最佳地点是什么？它是在响应头中还是作为ViewModel/data类基类中的公共属性？
2. 是否有一个标准的HTTP响应头，可以用来发送令牌和自定义信息，以便即使跨域客户端也可以读取它？

任何帮助都将不胜感激！谢谢!

Answer 1

Authorization头就是为此而设计的。有关如何使用该链接的详细信息，请参阅此链接中的第14.8条。