那些遇到过的问题

ASP.NET Web API授权和身份验证

Jea*_*anD 18 authentication rest authorization oauth-2.0 asp.net-web-api

我正在尝试构建一个安全的asp.net web api.您可以找到很多方法来保护您的API,但我想知道什么是最好的方法或"行业标准"来实现我的情况.

这些是我的要求 - 少数第三方开发人员将使用API​​来处理网站/移动应用程序等. - 想要使用此API的开发人员必须获得访问API(授权)的密钥 - 用户(访客/消费者)必须登录第三方应用程序才能查看其个性化信息. - API将使用ASP成员资格数据库来管理/验证用户.

我知道可以使用http基本身份验证来验证用户身份,但是如何实现API的授权部分呢?

OAuth 2.0是一个解决方案吗?

tpe*_*zek 12

有一篇非常好的文章描述了使用令牌/密钥的身份验证/授权:

它还描述了一些有关ASP.NET Web API安全性的其他良好实践.

Pai*_*ook 6

我还建议使用可以支持以下内容的Thinktecture.IndentityModel.40库:

基础

  • Base64Url编码
  • 纪元日期时间转换
  • 随机数生成
  • 时间常数字符串比较

声明

  • Anoynmous声称主要负责人
  • 验证即时声明
  • 基于声明的授权

不变

  • 处理算法,日期时间格式,JWT,SWT,WS-Security和WS-Trust时有用的常量

扩展方法

  • XML(与XmlReader,XmlDocument,XDocument之间的对比)
  • WS-Trust RSTR
  • 安全令牌转换
  • X.509证书

归档时间:

查看次数:

21886 次

最近记录:

11 年,7 月 前
相关归档
需要将asp.net webapi 2请求和响应主体记录到数据库中 96
ASP.NET WebAPI默认登录页面 17
没有cookie的ASP.NET Identity External Providers Web API 8
在WebAPI控制器中序列化EF Code First 5.0数据时出错 7
在CouchDB的AuthSession cookie中设置域 7
调用Task.Result时出现ThreadAbortException 7
任务/线程中的 CredentialsCache.DefaultCredentials 5
如何使用 AWS 在 flutter 中进行无密码登录 4
RESTful WCF 4服务中移动客户端的用户身份验证 3
Jetty 和 Jersey:所有东西如何组合在一起? 2
难疑归档
如何从JavaScript对象中删除属性? 5813
JavaScript对象的长度 2224
如何以MS Word保留格式和语法高亮显示代码片段? 1877
如何将Git托管项目中的所有本地更改还原到以前的状态? 1830
INNER JOIN,LEFT JOIN,RIGHT JOIN和FULL JOIN之间有什么区别? 1602
在JavaScript中生成随机字符串/字符 1593
如何分析Python脚本? 1203
"正确"的JSON日期格式 1071
在JavaScript中将Unix时间戳转换为时间 1054
jQuery的jquery-1.10.2.min.map触发了404(未找到) 1051