Antes de nada explicar que el API y mi cliente WEB van a trabajar separadamente por lo que el navegador no va a permitir que desde el cliente acceda al API por cuestiones de seguridad que se explican estupendamente en esta página:
https://developer.mozilla.org/en-US/docs/HTTP/Access_control_CORS
(para mí lo más importante de este link es entender que se manda en el header del request y en el del response, ya que esa es la clave de que todo funcione y si funciona es porque esas headers están bien formadas y si no lo están no funcionan, y eso es algo que puedes comprobar y simular con Fiddler)
Por otro lado me encuentro con el problema de implementar algo de seguridad y para ello configuro el API para Cuentas Individuales ya que de momento no necesito nada más sofisticado como el OAuth, aunque puede que en el futuro sí, pero eso es otra historia y puede que esta solución te venga al pelo también.
Como configurar Cuentas Individuales en ASP.NET Web API 2 lo tienes aquí:
http://www.asp.net/web-api/overview/security/individual-accounts-in-web-api
Pero si lo haces con dos proyectos separados no te olvides de usar SSL o estarás vendido, tus contraseñas volarán a la vista de cualquiera que capture los paquetes http.
Y ahora viene el problema, y el problema es que hay que configurar CORS para que nuestra API devuelva la cabecera correcta en el RESPONSE y el navegador la acepte. Configurar CORS en Web API no es difícil, lo puedes hacer siguiendo estos pasos:
http://www.asp.net/web-api/overview/security/enabling-cross-origin-requests-in-web-api
pero personalmente no me gusta, he preferido seguir los consejos de Unai en:
http://geeks.ms/blogs/unai/archive/2012/03/05/implementando-cors-en-asp-net-web-api.aspx
porque así consigo manejar los mensajes request y response a mi antojo, y eso me lo recomienda el gran @_PedroHurtado (que haría yo sin él), en fin, creo que el problema se resuelve así, no?
NO!!!, Microsoft ha decidido usar OWIN para la seguridad ¿y que significa eso?, que OWIN actúa como un middleware, middle, middle, middle, sí, middle, estoy en medio y sólo dejo pasar a tu API lo que me venga al pairo, y en nuestro caso no te paso la petición de \Token porque me la como yo. Y aquí empiezan las vueltas y más vueltas, hasta que te das cuenta que este middleware necesita también CORS, porque el CORS que has configurado en el WEB API en este caso no te sirve nada.
Asi que manos a la obra y a ver que hace OWIN:
public void ConfigureAuth(IAppBuilder app) { //.... }dentro de la clase Startup en el fichero Startup.Auth.cs de la carpeta App_Start.
¿Nada más?, nada más, así que aquí habrá que decirle que me permita CORS, y se lo digo añadiendo el paquete Microsoft.Owin.Cors que encontrarás en NUGET perfectamente, poniendo el using Microsoft.Owin.Cors; correspondiente y añadiendo esta línea:
app.UseCors(CorsOptions.AllowAll);
Pues ojito, que existe un problema de dependencia de Microsoft.Owin.Cors con Microsoft.AspNet.Cors y que está arreglado en la 2.0.2, así que si esa dependencia no la quieres asegúrate que te instalas la 2.0.2, en mi caso me da igual y tengo la 2.0.1, (a día de hoy no se ha liberado la 2.0.2, así que a joderse).
Ahora cuidadín, que has configurado 2 CORS y eso no es bueno, porque los 2 te van a tocar la cabecera del response y te vas a encontrar que lo que funcionaba antes no funciona ahora, así que toca quitar el CORS del WEB API para que funcione la api o tendrás errores de "headers con sintaxis incorrecta".
Y por otro lado puff, que peligro tiene esa línea, estás abriendo tu \Token al diablo, así que te aconsejo que mires en la carpeta Providers el archivo ApplicationOAuthProvider.cs y le pegues un vistazo a :
public override Task TokenEndpoint(...)
Porque recuerda que un AllowAll no es recomendable, y aquí me quedé, no quiero un AllowAll, quiero un AllowElSitioQueYoQuiera, y en eso estamos.
Para ello estoy siguiendo la serie de Owin y Katana de José M. Aguilar:
http://www.variablenotfound.com/2013/11/owin-y-katana-v-map-y-run.html?widgetType=BlogArchive&widgetId=BlogArchive1&action=toggle&dir=open&toggle=MONTHLY-1380578400000&toggleopen=MONTHLY-1383260400000
Cualquier comentario o aclaración os la agradezco, supongo que iré modificando el post conforme vaya aprendiendo, para mí todo esto es nuevo y me ha llevado muuuuuucho tiempo, así que si sirve para que otro no lo pierda, satisfecho me quedo.
Un saludo
Oscar