Web Api サービスを使用する Windows Auth を使用する MVC アプリケーションがあります。両方とも同じドメイン内でホストされていますが、別のサーバーに置かれています (MVC はパブリックにアクセス可能です)。ここで、Web Api サービスに、ユーザーが特定の AD グループに属していることを要求するメソッド「CreateFooBar」があるとします。MVC レイヤーでは、ユーザーが実際にグループに属していることを簡単に確認し、JSON メッセージをパッケージ化して「CreateFooBar」を呼び出すことができます。しかし、サービスはそのようなチェックをどのように実行するのでしょうか? どのユーザーがリクエストを行ったかを知るにはどうすればよいですか?
最初に考えたのは、JSON メッセージにユーザー ID を追加し、サービス メソッドに詳細を取得させることだけでした。しかし、これでは、誰かが任意のユーザー ID を渡すことができるため、明らかにこれは機能しません。誰かが私を正しい方向に向けることができますか?