Lea*_*dro 13 c# asp.net asp.net-mvc web-services angularjs
简短问题: 我在.NET中使用Web API服务,并且只使用HTML和AngularJS创建了一个站点.
如何仅通过我的网络授权我的服务?
我正在寻找一个似乎很常见的问题的安全答案,但事实并非如此.我在后期阅读了很多答案,想法和各种事情,但我找不到解决方案.
让我们假设我有一个来自MS的Web Api服务(最新的服务).所以我必须使用需要消耗它的应用程序.我们来定义两个场景.
场景1:
在同一个IIS中,我有一个ASP.NET MVC 3/4,其特点是所有MVC工作都在客户端,由AngularJS制作,因此App直接从JavaScript指向Web Api服务.
场景2:
我有一个第三方应用程序直接指向Web Api服务,并且位于其他网络/站点/任何但相关的任何内容.
所以,我的问题是:
如何验证两个系统,以便Web Api服务提供对两个系统的访问(我不在乎是否相同),并且不向例如具有REST客户端的人提供访问权限,并且登录到具有用户/通行证授权的网站?我希望这两个例子都能说明我感兴趣的观点.
请在下面评论您需要以更好的方式改进此问题!
顺便说一句,不,不能使用混淆.我想像一个令人耳目一新的令牌,但我无法想象.
Dal*_*rzo 10
我将如何使用您的方案1设置身份验证:
我将强制静态文件通过服务器以确保身份验证
Web.config文件
<compilation>
<buildProviders>
<add extension=".html" type="System.Web.Compilation.PageBuildProvider" />
<add extension=".htm" type="System.Web.Compilation.PageBuildProvider" />
</buildProviders>
</compilation>
<system.webServer>
<handlers>
<add name="HTML" path="*.html" verb="GET, HEAD, POST, DEBUG" type="System.Web.UI.PageHandlerFactory" resourceType="Unspecified" requireAccess="Script" />
<add name="HTM" path="*.htm" verb="GET, HEAD, POST, DEBUG" type="System.Web.UI.PageHandlerFactory" resourceType="Unspecified" requireAccess="Script" />
</handlers>
</system.webServer>
这将允许我设置<authentication>和<authorization>在我的web.config这样的:
<authorization>
<allow roles="demo" />
</authorization>
要么
<authorization>
<deny users="?" />
</authorization>
另外,我将设置我的登录页面:
<authentication mode="Forms">
<forms path="/" loginUrl="~/login"..
对于场景2:
可能你需要启用CORS,如果是这种情况你需要:
config.EnableCors();在Register方法中设置config选项; 您还需要通过使用[EnableCors]属性以及控制器的声明在ApiController中启用CORS ,以下是我如何执行此操作的示例:
[EnableCors(origins: "http://localhost:49595", headers: "*", methods: "*")]
public class ValuesController : ApiController
{
...
最后,为了保护WebApi,我们需要[Authorize]在控制器中使用一个属性,并且很可能需要定义自定义身份验证方法来授权您的第二个调用者.您可以按照以下步骤操作:
| 归档时间: |
|
| 查看次数: |
6439 次 |
| 最近记录: |