18

安全なasp.net Web APIを構築しようとしています。APIを保護する方法はたくさんありますが、私の場合、これを実装するための最良の方法または「業界標準」を知りたいです。

これらは私の要件です - API は、ウェブサイト/モバイル アプリなどの少数のサードパーティ開発者によって使用されます。 - この API を使用したい開発者には、API にアクセスするためのキー (承認) を与える必要があります訪問者/消費者) は、サードパーティのアプリにログインして、パーソナライズされた情報を表示する必要があります。- API は、ユーザーの管理/認証に ASP メンバーシップ データベースを使用します。

ユーザーの認証に http 基本認証を使用できることはわかっていますが、API の承認部分をどのように実装すればよいですか?

OAuth 2.0 はソリューションですか?

4

2 に答える 2

12

トークン/キーを使用した認証/承認について説明している非常に優れた記事があります。

また、ASP.NETWebAPIセキュリティに関するその他の優れた方法についても説明します。

于 2012-09-18T12:24:46.417 に答える
6

以下をサポートできるThinktecture.IndentityModel.40ライブラリの使用もお勧めします。

ベース

  • Base64Url エンコーディング
  • エポック日時変換
  • 乱数生成
  • 時定数文字列比較

請求

  • 匿名請求元本
  • 認証即時請求
  • クレームベースの承認

絶え間ない

  • アルゴリズム、日時形式、JWT、SWT、WS-Security & WS-Trust を扱うときに便利な定数

拡張方法

  • XML (XmlReader、XmlDocument、XDocument との間)
  • WS-Trust RSTR
  • セキュリティ トークンの変換
  • X.509 証明書
于 2012-09-18T12:48:21.760 に答える