Ответ 1
Хотя JSONP также рассматривает возможность использования CORS некоторых примеров реализации WebApi здесь.
Рассмотрите следующий стандарт (по крайней мере, черновик) для вашего токена, а не создайте свой собственный. Json Web Token (JWT), по-видимому, является хорошим подходом к спецификации здесь включает в себя формат и определяет подход шифрования или подписи. Существуют библиотеки, поддерживающие такой токен, например Модель идентификации Thinkteckture в этой статье описывается использование этой библиотеки и JWT. У Google есть хороший путеводитель для разработчиков здесь.
Отказ от ответственности, рассмотрите выше, прочитав о некоторых стандартах OAuth и JWT .
Если вы использовали HTTP-заголовок, я не уверен, что вам нужен настраиваемый заголовок (@Vipul) заголовок "Авторизация:" есть для такого типа информация.
Если вы используете пользовательский токен, убедитесь, что у него есть срок годности, подумайте об использовании nonce, если вы хотите защитить повторять атаки и подписывать или шифровать с использованием известного алгоритма.
Согласитесь с тем, что делегирующий обработчик является хорошим местом для проверки маркера. ActionFilter называется намного позже, чем необходимо в стеке, а срединным местом было бы реализовать System.Web.Http.AuthorizeAttribute.