既存の WCF Web サービスを WebAPI サービスに変換する作業を行っています。しかし、私は WebAPI を初めて使用し、WebAPI の WCF セキュリティ バインディングで宣言されているのと同じセキュリティを実装する方法について混乱しています。
WCF Web サービスでは、サービスのセキュリティ バインディングは web.config ファイルで定義されます。同様のセキュリティを WebAPI に実装する方法を調べていたところ、Wcf WebApi の構成と同等のコードなど、WCF モデルを使用していると思われる記事をいくつか見つけました。しかし、それは最終リリースの一部ではなかった非推奨の機能のようです。クラスとメソッドは、現在のバージョンには存在しません (私が見つけることができます)。
私が調べた他の記事や書籍のほとんどは、明示的で構成可能なセキュリティ バインディングについて言及していません。代わりに、ホスト構成、メッセージ ハンドラー、認証属性、またはアクション フィルターに依存して、認証と承認のセキュリティ チェックを処理しています。(例: 1、2、3 )
ホストやメッセージ ハンドラなどに依存するセキュリティを実装することに問題はありませんが、何かが完全に欠けているかどうかはわかりません。構成または他の方法で設定するより良い方法がある場合、メッセージ処理などの一部としてセキュリティをハッキングしたくありません。
WebAPI でセキュリティを実装するには、ホスト、メッセージ ハンドラー、認証属性などに依存する必要がありますか、それともより適切な方法がありますか? もしそうなら、どのように?