3

REST .NET Web API を使用する Web アプリケーションを開発しています。私の Web API はステートレスで、静的な HTML と JQuery リクエストを使用しています。

質問.... ログイン/パスワード認証を行う最善の方法は何ですか?

お申し込みの流れ:

  1. API XHR リクエスト
  2. ステータス 401 の API レスポンス
  3. ログインページへのJSリダイレクト
  4. API 認証 XHR リクエスト (ログインとパスワードを使用)
  5. トークン付きの API レスポンス
  6. 新しい API XHR リクエスト (トークン付き)
  7. データを含む API レスポンス
4

1 に答える 1

1

ここでの答えは、場合によると思います。API の背後にある情報の機密性に大きく依存します。

非常に機密性の高いデータについて話している場合は、Amazon が使用するモデルを実装します。

ほとんどのサイトでは、あなたが説明していることは問題ありません。セキュリティを強化するために https を使用します。暗号化されたトークンは、Cookie またはカスタム ヘッダーとして送信できます。

API コントローラーで [Authorize] 属性を使用して、認証が必要なエンドポイントへのアクセスを制限できます。

すべての要求を処理し、トークンが有効でない場合は 401 で応答する委任ハンドラーを公開するか、現在のプリンシパルを設定して Authorize 属性を満たすことができます。

コードサンプルが必要な場合はお知らせください。以前に行ったことがあります。

于 2013-04-12T21:46:22.537 に答える