У меня есть одностраничное приложение - более или менее основанное на шаблоне MVC5 SPA - использующеежетоны на предъявителя для аутентификации.

На сайте также есть несколько обычных страниц MVC, которые необходимо защитить, но используяпроверка подлинности cookie.

В Startup.Auth я могу включить оба типа авторизации:

app.UseCookieAuthentication(new CookieAuthenticationOptions());
app.UseOAuthBearerTokens(OAuthOptions);

Тем не менее, это, кажется, имеет побочный эффект в том, что всякий раз, когда AJAX-запрос отправляется из SPA, он отправляет оба жетона-носителя в заголовкеа также печенье.

В то время как поведение, которое я действительно хочу, заключается в том, чтотолько токен на предъявителя используется для вызовов WebAPI, и только cookie для вызовов MVC.

Я также хотел бы, чтобы вызовы MVC перенаправляли на страницу входа в систему, когда он не авторизован (установлен как CookieAuthenticationOption), но, очевидно, я нене хочу, чтобы это происходило при вызове API.

Есть ли какой-нибудь способ иметь такой тип смешанной аутентификации в одном приложении? Возможно, через фильтр пути / маршрута?