В настоящее время я работаю над приложением MVC5 + WebAPI для некоторых запросов AJAX. Для части MVC я использую стандартную аутентификацию cookie и аутентификацию на основе токенов для части WebAPI. Я хотел бы, чтобы пользователь входил в систему, используя только сайт MVC, без необходимости повторной аутентификации на сервере авторизации для получения токена доступа.
Безопасно ли получить токен доступа на стороне сервера, поместить его в скрытое поле на сайте и использовать java-скрипт для его запроса и использовать его позже для запросов веб-API? Предполагая, что соединение будет через HTTPS, по очевидным соображениям безопасности :)