私は以下を含むアプリケーションを持っています:
- .net コア 3.1
- Microsoft .net コアのスキャフォールディング ID
- ef コア 3.x
- vue.js
- ネットコア Web API
(重要な情報: すべてが 1 つのサーバー上の 1 つのソリューションにあります)
そして今、Web Api を保護することを検討しています。このアプリケーションは銀行として安全である必要はありませんが、最低限のセキュリティよりも少し多く実装したいと考えています。
問題
API を保護したい
私が何をした
だから私はすでにアイデンティティの承認を持っています。そして、ユーザーがデータを入力できるようにするすべてのリクエストには、[Authorize] (Idenitiy を使用) を使用しています。
私の質問
- Rest API がある場合は JWE 暗号化を使用する必要があるという複数の場所を読みました。許可されたユーザーのみがデータを送信できることがわかっている場合、JWE も必要ですか? 機密情報はありません。(しかし、私がこれを見たすべての場所で、アプリケーションはユーザー名/パスワードを追跡します)
- 承認を必要としない複数の GET リクエストがあります。そこでJWEを使用する必要がありますか?また、ユーザーに関する情報 (ユーザー名/電子メールなど) がない場合、暗号化するためにどのユーザー情報を使用する必要がありますか?
- 「全員」が情報を取得/呼び出しできないように、Getcalls を保護する他の方法はありますか? 有効にしました (cors)
3 つの質問は互いに関連しているため、それらを分離することで、サポートが必要な詳細に対応しやすくなります。