4

MVC4WebApiを保護しようとしています。実際、私は本当にセキュリティが軽いIDプロバイダーが必要です。私のサービスはTwitterに似ており、セキュリティの観点からはプライベートデータは多くありませんが、サービスは発信者のユーザーIDを知っている必要があります。

また、Webサービスは現在モバイルデバイスでのみ使用されることを知っておくことも重要ですが、将来的にはWebサイトがそれに付随する可能性があります。

SOとインターネットによって私はThinktecture.IdentityModelにたどり着きましたが、それは複雑に思え、ドキュメントやサンプルはまったく見つかりません。また、クレームベースの認証については、まだ快適な経験がありません。クレームサーバーやトークンプロバイダーなどはありません。この方法を使用するには、それが必要になるようです。私の状況では、これはすべて非常に重いようです。

独自のHMACソリューション(https://github.com/cuongle/WebAPI.Hmac)を実装したり、OAuth(https://github.com/maksymilian-majer/DevDefined.OAuth)を使用したりする人々についても読んだことがありますが、これらも少し複雑に思えます(ヘルパークラスのないOAuthは、最高の開発者を泣かせるのに十分であり、私は最高ではありません)。Janrainは機能するように見えますが、年間2,500人を超える認証済みユーザーに料金を支払う必要があるようです...

Web Apiの単純なIDプロバイダーとセキュリティを実装するための最良の方法は何ですか?

ありがとう!

4

3 に答える 3

4

Thinkecture IdentityServerを強調表示したDotNetOpenAuthを使用してOAuth2.0サービスプロバイダーを作成する前に、これと同様の質問に答えようとしました。セットアップ手順はそれほど難しくありません(IMHO)インストールビデオはここにあり、大いに役立つはずです。

以前の回答もこれで更新しましたが、かなり軽量なO-Auth2.0の実装例もここにあります。サンプルコードはここにあり ますhttp://code.google.com/p/codesmith/downloads/detail?name=OAuth2.zip&can= 2&q =#makechanges

この明確な質問もここで読んだことがありますか?モバイル(iPhone)アプリからASP.Net Web APIへのリクエストの認証(私のデザインでフィードバックがリクエストされました)

于 2012-10-18T11:53:52.167 に答える
1

まあ、セキュリティは難しいです:)

Thinktecture.IdentityModelに関しては、これはWebAPIアプリケーションで使用するトークン処理ライブラリです(とりわけ)。これを使用すると、トークンを受け入れるためのロジック(基本認証、SAML、SWT、JWT)を実行する必要がなくなります。クレームは単なる副作用です。

IDプロバイダーをお探しの場合は、姉妹のオープンソースプロジェクトThinktecture.IdentityServerがバージョン2のベータ版です。これは、カスタムデータベースをサポートし、トークンを発行するIDプロバイダーです。プロジェクトのURLは次のとおりです。

http://thinktecture.github.com/Thinktecture.IdentityServer.v2/

于 2012-10-18T03:43:32.363 に答える
1

ドキュメントとしてサンプルコードを見つける問題に対応して、Thinktecture githubリポジトリのsamplesフォルダーを検討してください:https ://github.com/thinktecture/Thinktecture.IdentityModel.45/tree/master/Samples

(SOについてコメントするのに、答えるよりも評判が必要なのはなぜですか?)

于 2013-06-12T19:37:07.400 に答える