第一に、そしてもっと重要なこと。SSL、SSL SSL
これは主要なサイトでさえ見逃している非常に単純なステップですが、非常に重要です (SSL の多くの現在の脆弱性を悪用しても)。
webapi では、ほぼすべての種類の認証を使用できます。基本認証; 資格; OAUTH スタイルの認証を使用することを検討できます (仕様が非常に緩く定義されているため、スタイルと言うことに注意してください。ほとんどすべてのオプションとそれを達成するための複数の方法が用意されています)。
何よりもまず、選択肢として WebApi を検討します。他に何か考えたことはありますか?https://github.com/ServiceStack/ServiceStack/wiki/Authentication-and-authorizationの全範囲の認証アダプターを含むhttp://www.servicestack.net/など
第二に、何を認証しているのか、何を認証しているのか (プライベート データ / アップロード / いくつかのものへのアクセス) を知っておくと役に立ちます。「十分なセキュリティ」を含む回答を得るために。
フォーム認証を「使用できます」。クライアントがブラウザベースでないと仮定すると、サービスを介してログインを返し、使用期間中何らかのコンテキストで保持する必要があるフォーム認証トークンで応答することでこれを実現できます。ソフトウェアがAPIの使用を終了するとタイムアウトが設定されると仮定すると、ユーザーは次回それを再利用するために再度ログインする必要があります。
Web API / JS-Html フロントエンドに関する限り。自分自身を引用します。
JS アプリなので、JS に関連する owasp トップ 10 をざっと見てみる価値はあるでしょう。
http://erlend.oftedal.no/blog/?blogid=125
A1 - Injection
A2 - Cross Site Scripting (XSS)
A3 - Broken Authentication and Session Management
A4 - Insecure Direct Object References
A5 - Cross Site Request Forgery (CSRF)
A6 - Security Misconfiguration
A7 - Insecure Cryptographic Storage
A8 - Failure to Restrict URL Access
A9 - Insufficient Transport Layer Protection
A10 - Unvalidated Redirects and Forwards
ここに WebApi のカスタム認証フィルターの作成に関する良い投稿がありますhttp://www.west-wind.com/weblog/posts/2013/Apr/18/A-WebAPI-Basic-Authentication-Authorization-Filter (how-to /コード付き)