20

新しい ASP.NET Web API を作成しましたが、問題なく動作しています。私は今、API を保護したいところです。

[Authorize] 属性をベース コントローラーの上に配置しましたが、ASP.NET アプリケーション自体で API 呼び出しを行いたい場合、適切に機能しています。

しかし、API 呼び出しを行い、認証を通過したい外部クライアントのベスト プラクティスは何ですか? また、カスタム認証ロジックがあることを覚えておいてください。

クライアントはどのように資格情報を送信する必要がありますか? これらの認証情報はどの時点で処理されますか?

4

2 に答える 2

3

基本的に、暗号化されたユーザー名とパスワードをネット経由でサーバー アプリケーションに送信すると、API でランダムなセッション ID を生成し、それをリスト (サーバー側) に保持して、ID をクライアントに送り返すことができます。クライアントがサーバーに何かを送信するたびに、受信した ID をパケットに含めて、サーバーが毎回それを確認できるようにします。

クライアントの切断時または固定タイムアウト時に、サーバー リストから ID を削除し、クライアントに再認証を求めることができます。

于 2013-11-05T16:31:05.920 に答える