データセキュリティが不可欠であり、ASP.NETアプリケーションがAzureで実行されていることを考えると、WebAPIに最適な認証アプローチはどれですか。
質問する
15117 次
2 に答える
43
認証を処理してWebAPIを保護するときは、DominickBaierによって設定されたガイドラインに従うことをお勧めします。ASP.NETID管理に関するこれ以上の専門家は世界にいないかもしれません。
彼のブログはhttp://leastprivilege.com/にあり、優れたWeb API IdentityパッケージはNuget、Thinktecture.IdentityModelにあります-http://nuget.org/packages/Thinktecture.IdentityModelほとんど の優れたオープンソースライブラリと同様です。 、すべての機能が無料で利用できるため、車輪の再発明を行う必要はありません。
これは、.NET 4.0 /WIFおよび.NET4.5(MVCおよびWeb APIのサポートを含む)用のトップツーボトムのIDおよびアクセス制御ライブラリです。
Web APIの保護について詳しく知りたい場合は、このビデオhttp://vimeo.com/43603474-NDCOslo2012からのDominickの講演もご覧ください。
于 2012-08-31T21:46:27.277 に答える
5
このような質問は非常に「オープン」であり、すべてプロジェクトの要件によって異なります。セキュリティが必要な場合は、さまざまなセキュリティ対策の組み合わせを検討する必要があります。
HTTPSを多要素認証と組み合わせて使用します。例としては、クライアント証明書認証(ドングルに保存されている秘密鍵)と基本認証(ユーザー名/パスワード)があります。これにより、悪意のある人物がユーザー名とパスワードを入手した場合でも、ハードウェアドングルがないとアプリケーションにアクセスできなくなります。また、逆もまた真であり、ハードウェアトークンが盗まれたとしても、ユーザー名とパスワードを知らなければ役に立たないでしょう。
これらはあなたが始めるためのいくつかの良いブログ投稿かもしれません:
また、これがWeb全般に当てはまる場合でも、他の作業を続ける前に、.NET開発者向けのOWASPトップ10を読む必要があります。
于 2012-08-31T21:49:39.113 に答える