MVC 5认证

Question

我有一个带有无记名令牌身份验证的Web api 2，其中外部站点在我的API中进行身份验证，并通过在请求头中发送令牌来发出请求，但我也有一个MVC 5网站，在这个站点中身份验证应该是自动的，web api将有一个重定向到这个网站的方法，它应该已经打开了身份验证，这个网站将只有一个客户端，即web api，并且用户来自web API。

如何自动对网站进行身份验证？以两种不同的方式解决了这个问题：

1. 使用身份验证cookie，其中我执行从web重定向到传递登录信息的站点(放置在web.config中，带有用户和密码，或某种密钥)，然后，网站执行身份验证并为浏览器设置cookie。
2. 在web api和web站点中使用承载身份验证(在web.config上使用相同的机器密钥)，当web重定向到web站点时，传递为客户端生成的承载令牌，但是当用户在web站点上导航时，我需要始终在标题中传递此令牌，我认为这不是在web api和web站点之间共享此令牌的好主意，当导航结束时，流程需要返回到web，并且必须对agaIn进行身份验证或将相同的令牌传递给web。

这些方法中哪一种最正确？或者还有其他方法来解决这个问题呢？

Answer 1

我采用选项2，您可以使用一个令牌来说明您需要识别传入请求来自您的API。它是无状态的，很简单，您不需要在urls之间传递合理的数据