助けが必要です。
.NETWebAPIを使用していくつかのRESTサービスを開発しました。
これらのサービスは、ユーザー名とパスワードを使用してクライアントを認証する必要があります。
私がインターネットで見つけた解決策は「基本認証」です。
大きな問題は、通信を保護するためにSSLを使用できないことです。HTTPSを持っていません。
SSLなしで基本認証を使用することは良い解決策ではありません。
インターネットで検索して、ユーザー名とパスワードを使用してhttp経由でクライアントを認証できるソリューションを見つけることができません。
助けてくれますか?
要約すると、ユーザー名とパスワードを使用してWeb.APIでユーザーを認証する必要があります。SSLが使えません。私のコミュニケーションはHTTPです。
ありがとう!!!
私が知っているユーザー名+パスワード認証の唯一の他の一般的なアプローチは、ダイジェストアクセス認証です。WebApiの例を示すブログがここにあります。
これにより、ハッシュを使用するため、SSLなしである程度の保護が得られます。ただし、このアプローチのすべての欠点を完全に読んで理解するまで、私は実際にそれを支持しません。
SSL がないと、基本は安全ではありませんが、中間者攻撃のためにダイジェストも安全ではありません。ポールがハッシュ+ソルトで言ったように、HMACや暗号化などの公開/秘密鍵ベースのアプローチを使用することをお勧めします。
ASP.NET メンバーシップ プロバイダーを使用できます。
http://msdn.microsoft.com/en-us/library/yh26yfzy(v=vs.100).aspx
基本的に、それはできません。
確かに、資格情報をクリア テキストでネットワーク経由で転送しないスキームがありますが、それは資格情報だけではありません。すべてのデータも平文で送信されます。サーバーの認証、機密性、完全性保護、リプレイ保護などはありません。</p>
これらすべての機能を気にしないのであれば、(安全な) 認証を気にする必要はありません。