Совместное использование токенов на предъявителя и аутентификации cookie
У меня есть одностраничное приложение - более или менее основанное на шаблоне MVC5 SPA - использующеежетоны на предъявителя для аутентификации.
На сайте также есть несколько обычных страниц MVC, которые необходимо защитить, но используяпроверка подлинности cookie.
В Startup.Auth я могу включить оба типа авторизации:
app.UseCookieAuthentication(new CookieAuthenticationOptions());
app.UseOAuthBearerTokens(OAuthOptions);
Тем не менее, это, кажется, имеет побочный эффект в том, что всякий раз, когда AJAX-запрос отправляется из SPA, он отправляет оба жетона-носителя в заголовкеа также печенье.
В то время как поведение, которое я действительно хочу, заключается в том, чтотолько токен на предъявителя используется для вызовов WebAPI, и только cookie для вызовов MVC.
Я также хотел бы, чтобы вызовы MVC перенаправляли на страницу входа в систему, когда он не авторизован (установлен как CookieAuthenticationOption), но, очевидно, я нене хочу, чтобы это происходило при вызове API.
Есть ли какой-нибудь способ иметь такой тип смешанной аутентификации в одном приложении? Возможно, через фильтр пути / маршрута?