ASP.NET Web API 授权和身份验证

【问题标题】:ASP.NET Web API authorization and AuthenticationASP.NET Web API 授权和身份验证
【发布时间】:2012-09-10 16:52:30
【问题描述】:

我正在尝试构建一个安全的 asp.net web api。您可以找到很多方法来保护您的 API,但我想知道在我的案例中实现这一点的最佳方法或“行业标准”是什么。

这是我的要求 - API 将被少数第三方开发者用于网站/移动应用等。 - 想要使用此 API 的开发人员必须获得访问 API 的密钥(授权) - 用户(访客/消费者)必须登录第三方应用程序才能查看他们的个性化信息。 - API 将使用 ASP 会员数据库来管理/验证用户。

我知道可以使用 http 基本身份验证来对用户进行身份验证,但是如何实现 API 的授权部分?

OAuth 2.0 是一个解决方案吗?

【问题讨论】:

    标签: rest authentication authorization oauth-2.0 asp.net-web-api


    【解决方案1】:

    有一篇很好的文章描述了使用令牌/密钥进行身份验证/授权:

    它还描述了有关 ASP.NET Web API 安全性的其他一些良好做法。

    【讨论】:

      【解决方案2】:

      我还建议使用可以支持以下内容的Thinktecture.IndentityModel.40 库:

      基础

      • Base64Url 编码
      • 纪元日期时间转换
      • 随机数生成
      • 时间常数字符串比较

      声明

      • 匿名声明主体
      • 身份验证即时声明
      • 基于声明的授权

      常数

      • 在处理算法、日期时间格式、JWT、SWT、WS-Security 和 WS-Trust 时有用的常量

      扩展方法

      • XML(往返于 XmlReader、XmlDocument、XDocument)
      • WS-Trust RSTR
      • 安全令牌转换
      • X.509 证书

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 2012-05-27
        • 1970-01-01
        • 2017-01-23
        • 2016-01-12
        • 1970-01-01
        • 2014-07-01
        • 2012-10-02
        • 1970-01-01
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode