0

多くの ASP.NET MVC アクションに対してトークン ベースの認証を実装する最も簡単な方法を見つけようとしています。

Api コントローラーは Web アプリと一緒に配置されるため、Api 認証の対象となるアクション/コントローラーを指定できるようにする必要があります。

フォーム認証に使用されるメンバーシップ プロバイダーが既にあるので、これを再利用してユーザーを検証し、返されたトークンを作成したいと考えています。

OAuth の実装に関する記事をいくつか読みましたが、ほとんどの記事は非常に複雑に思えます。API キーの使用例をいくつか見てきましたが、トークンを要求してから、必ずしも HTTP ヘッダーの値としてではなく、パラメーターとしてそれを返したいと考えています。

基本的に、プロセスは次のようにする必要があります。

  1. ユーザーは、ユーザー名とパスワードを渡す認証アクションからトークンを要求します。
  2. サービスが enc トークンを返す
  3. ユーザーは enc トークンを auth へのパラメーターとして将来の呼び出しに渡します

これが行われる典型的な方法は何ですか、クライアント(ajax呼び出しなど)はユーザー名のハッシュを計算する必要がありますか/ 1で渡しますか?または TLS/SSL 経由のプレーンテキストは問題ありませんか?

アドバイスをいただければ幸いです。

4

1 に答える 1

0

あなたが説明したことについて、あなたは何を心配していますか?

あなたが説明したプロセスは実行可能のようです。通常、システムにはトークンの有効期限があり、その後は新しいトークンを取得する必要があります。ただし、有効期限には多くのバリエーションがあります (固定時間、スライド時間など)。

ユーザー名/パスワードに関する質問に対して、クライアントはそれらをハッシュすべきではありません。安全な方法 (SSL) を介して送信されていることを確認してください。

于 2012-12-07T18:53:05.400 に答える