我正在构建一个具有 www 前端 (www.example.com) 和开发人员 API (api.example.com) 的 ASP.NET MVC 3 应用程序。我想为开发人员提供一个简单的服务,他们可以在其中注册密钥并使用它进行 REST 调用。我不清楚一些事情:
1) 我应该如何生成和存储密钥?是否可以将它们以纯文本形式存储在数据库中,或者我应该对它们进行哈希和加盐?
2) 如何授权 API 调用?我猜我不想通过 ASP.NET Membership 这样做。
一旦我理解了这两个问题,诸如速率限制之类的事情似乎就很简单了。
【问题讨论】:
标签: api rest asp.net-mvc-3 restful-authentication
1) 这完全取决于您。我已经看到它在我使用过的不同 API 中完全不同。一些键与 GUID 非常相似,其他键显然只是随机字符串,但重要的是它们是独一无二的,不容易猜到。至于您如何将其存储在数据库中,您为保护数据付出了多少努力实际上取决于用户帐户的敏感程度。如果您提供的服务的性质是高度机密的和/或您最终可能会被审计,那么您应该采取任何必要的手段来保护数据(使用单向哈希和加盐)。我个人的理念是让事情尽可能简单,直到有理由引入额外的复杂性,但我曾在使用 1-way hashing 和 salts 进行身份验证的网站上工作过。
2) 这取决于谁将使用您的服务。您可以使用内置的 ASP.NET Forms Authentication Membership Provider,甚至将其与您的公共网站集成,但这将限制使用支持 HttpProxies 上的 cookie 的平台的开发人员使用您的 API,并使您的 API 更难跟随。我使用过的大多数 REST-ful 服务都使用了基本身份验证和 SSL 的组合,这将提供最广泛的开发人员支持,但在您这边实现起来会更加复杂。在服务器端,您必须从 HTTP 标头中捕获用户凭据,并根据您的用户数据库对其进行身份验证。
【讨论】: