Który z nich jest najlepszym podejściem do uwierzytelniania dla interfejsu Web API, biorąc pod uwagę, że bezpieczeństwo danych jest niezbędne, a aplikacja ASP.NET działa na platformie Azure?Najlepsze sprawdzanie autentyczności interfejsu API sieci Web
Odpowiedz
Jeśli chodzi o uwierzytelnianie i zabezpieczanie swojego interfejsu internetowego, zalecamy przestrzeganie wytycznych określonych przez Dominick Baier. Nie może być lepszego eksperta od zarządzania tożsamością ASP.NET na świecie.
można znaleźć jego blog na http://leastprivilege.com/ i wielki Web API pakiet tożsamość w Nuget, Thinktecture.IdentityModel - http://nuget.org/packages/Thinktecture.IdentityModel Podobnie jak większość dobrych bibliotek open source, ponieważ wszystkie funkcje są dostępne dla za darmo, nie ma nie trzeba wymyślać koła.
To jest od góry do dołu tożsamość & biblioteka kontroli dostępu dla .NET 4.0/WIF i .NET 4.5 (w tym obsługa MVC i Web API).
Jeśli chcesz dowiedzieć się więcej na temat zabezpieczania API Web, należy również obejrzeć ten film http://vimeo.com/43603474 - rozmowa Dominick jest z NDC Oslo 2012.
pytania takie jak te są bardzo „otwarty”, to wszystko zależy od wymagań twojego projektu. Jeśli chcesz mieć bezpieczeństwo, powinieneś rozważyć połączenie różnych środków bezpieczeństwa.
Weź HTTPS w połączeniu z Multi-factor authentication. Przykładem może być uwierzytelnianie za pomocą certyfikatu klienta (klucz prywatny przechowywany w kluczu sprzętowym) i uwierzytelnianie podstawowe (nazwa użytkownika/hasło). Zapewnia to, że nawet jeśli złośliwa osoba zatrzyma nazwę użytkownika i hasło, nie będzie mógł uzyskać dostępu do aplikacji bez klucza sprzętowego. I odwrotnie jest również prawdą, nawet jeśli token sprzętowy zostanie skradziony, będzie bezużyteczny bez znajomości nazwy użytkownika i hasła.
Mogą to być kilka dobrych blogach na początek:
I nawet jeśli dotyczy to sieci w ogóle, należy zapoznać the OWASP Top 10 for .NET developers przed kontynuowaniem coś jeszcze.
- 1. Powracanie błędów w interfejsie API sieci Web
- 2. Dobre praktyki dotyczące projektowania interfejsu API opartego na sieci Web
- 3. Sprawdzanie autentyczności na żądanie http od clojure (?)
- 4. Web API Najlepsze podejście do zwrotu HttpResponseMessage
- 5. ASP.NET Web Api w sieci tworzy
- 6. Usługi raportowania 2008 usługi sieci Web interfejsu API api - jak zarządzać uprawnieniami dotyczącymi zabezpieczeń?
- 7. sprawdzanie autentyczności Androida na serwerze innej firmy
- 8. Sprawdzanie poprawności właściwości modelu WCF Web APi
- 9. Najlepsze praktyki dotyczące przechowywania witryny sieci Web ASP.NET w Subversion?
- 10. Sprawdzanie poprawności interfejsu API Spring Rest
- 11. usuwa strony pomocy z interfejsu API sieci ASP.NET
- 12. Wyjątek Obsługa interfejsu ASP.NET MVC Web API
- 13. Czas trwania działania interfejsu ASP Web API
- 14. Strukturyzacja stosu interfejsu Web API dla wersji
- 15. Włączanie interfejsu Cross Domain ASP.net Web API
- 16. Uwierzytelnianie za pomocą protokołu OAuth w interfejsie API sieci Web
- 17. Umieszczanie tablicy obiektów za pomocą interfejsu API MVC Web API
- 18. Aktualizowanie usługi sieci Web z programu ASMX do interfejsu WWW
- 19. Testowanie interfejsu API sieci Web przy użyciu protokołu RSpec i VCR
- 20. Czy interfejs ActionFilterAttribute interfejsu API sieci Web może mieć dostęp do modelu?
- 21. Testowanie interfejsu ASP.NET Web API Multipart Form danych Przesyłanie pliku
- 22. Powracanie anonimowych typów za pomocą interfejsu Web API
- 23. Pakiet sieci Web pobiera nieprawidłową nazwę witryny sieci Web IIS
- 24. Uwierzytelnianie ASP.NET Web API
- 25. Powikłania w sieci Web
- 26. Limity stawek interfejsu Web serwisu Spotify
- 27. Interfejs API sieci Web Asp.Net przekazujący użytkownika między warstwami
- 28. jak wywołać api sieci web za pośrednictwem domeny ajax?
- 29. Ustawianie wyjątku obsługiwanego w interfejsie API sieci Web ExceptionFilterAttribute
- 30. Operacje i parametry kwerendy w sieci Web API