Web サイト (MVC4/シングル ページ アプリケーション + ノックアウト + Web.API) を実装する必要があり、大量の記事やフォーラムを読んできましたが、セキュリティ/認証のいくつかのポイントとその方法についてまだ理解できません。ログインページと Web.API を保護するときに先に進みます。
サイトは完全に SSL で動作します。ユーザーが初めてログオンすると、登録プロセスを確認するためのリンクが記載された電子メールが送信されます。パスワードと「salt」値は暗号化されてデータベースに保存され、パスワードが解読される可能性はありません。この API は、このアプリケーション専用に使用されます。
さらに先に進む前に、いくつかの質問に答える必要があります。
- セキュリティの観点から、どの方法が私のアプリケーションに最適でしょうか: Basic/SimpleMembership? 他の可能性はありますか?
- オブジェクト Principal/IPrincipal は基本認証だけで使用されますか?
- 私の知る限り、SimpleMembership を使用すると、Cookie が使用されるため、これは RESTful パラダイムを壊していませんか? では、REST Web.API を構築する場合、SimpleMembership の使用を避けるべきではないでしょうか?
- トークンを使用して、ThinkTecture.IdentityModel をチェックしていました。これは Basic、Forms、Auth などの認証タイプですか、それとも他の認証タイプに追加できるものですか?
ありがとうございました。