Entity Framework マネージド SQL データベース (MVC - ASP.NET) に支えられたサーバー上の WebAPI サービスと対話する WinRT アプリがあります。セキュリティのため、Microsoft Live Connect SDK を使用して WinRT 側で認証されたユーザーのみが WebAPI サービスとやり取りできるようにしています。WinRT アプリ側で Live Connect SDK を使用して認証するためのログイン コードは既に動作しています。WebAPI サービスは、Azure ホスト サーバーで実行されている MVC Web ロールのコンテキストで実行されています。
私は StackOverflow について多くのことを読んできました。認証、OData、OAuth、Azure Mobile Services、WebAPI、およびそれらを組み合わせる方法に関するさまざまなドキュメントがあります。
Azure Mobile Services (REST) で使用する Live Connect 認証トークン
MVC WebAPI OData エンドポイントを安全に使用するには?
上記のシナリオを安全な方法で実装するために必要なものだけを実装するツール/パスを選択することを非常に懸念しています。私の主な攻撃の懸念は、認証されていないユーザーが ApiController にアクセスしようとし、有害な Put や Delete を実行しようとすることです。いくつかの質問:
Azure モバイル サービスは必要ですか?
WinRT アプリとサービスの間で Live Connect トークンを管理/渡すには、どのツールを使用するか、構成を変更する必要がありますか?
これの多くを自動化するために使用すべきテンプレートまたは NuGet パッケージはありますか?
私のシナリオまたはそれに近いシナリオに対処するドキュメントはありますか?
Entity Framework に組み込まれているもので役立つものはありますか、逆に対処する必要がある脆弱性はありますか? もしそうなら、何?
サーバー構成 (web.config) にどのような変更を加える必要がありますか?