Q

ASPNET的Web API认证

2013-04-22 57 views 2 likes

2

我使用ASP.net的Web API实现的API，我试图找到我的方案进行验证适当的替代品，其计算方法如下：ASPNET的Web API认证

的API应该可以从移动客户端访问
移动客户端用户不应该登录，客户端是本机应用程序
该API由设备ID和用户ID组成的凭证进行授权，该凭证以其他方式在应用程序中获得，存储在sql数据库中的有效凭证
客户端不应存储静态凭据
的API管理敏感数据，应该是安全的

所以我探讨一些选择，我已经发现，通过SSL进行基本的身份验证就足够了，但有些人说这可能是不够的，基于索赔的解决方案会。

然后我探索了Azure ACS，我发现它有一些优点，但是对我的场景来说可能过于复杂？我仍然应该创建一个身份提供者，如基本身份验证。样品流程（第二种方法）：http://msdn.microsoft.com/en-us/library/gg429784.aspx

您怎么看？

感谢

UPDATE：

我一直在思考如何使用DotNetOpenOauth的实施和使用资源所有者口令授予这样我就可以使用该设备ID和用户ID的第一时间拿到访问令牌没有存储凭据，服务器可以根据设备调用它来授权调用者，这是正确的吗？

2013-04-22 Keoz

A

回答

0

不存储凭证是个好主意。你可以看看IdentityServer，它支持资源所有者，隐式和码流：

https://github.com/thinktecture/Thinktecture.IdentityServer.v2/wiki

2013-04-23 01:55:18 leastprivilege

+0

嗨，感谢看起来很有趣，我想知道有多容易是嵌入到我自己的API网站 – Keoz 2013-04-23 14:59:12

1

我做到了用asp.net的MVC 4.0 /网页API的基本成员。你可能会发现它有帮助。

https://github.com/aamir-poswal/Mobile-Apps-Authentication-Authorization-ASP.NET-WEB-MVC-4.0

2013-08-24 10:16:18

2

在VS 2013，你可以使用“ASP MVC SPA申请”模板来生成一个工作的实现，是产生在登录时的OAuth2令牌承载和使用授权它的WebAPI控制器调用[授权]属性。它使用成员资格和实体框架在SQL Server本地存储用户和散列。只需删除您不需要的asp mvc部分，并保留WebApi的Auth部分即可。更多细节在这里： http://msdnrss.thecoderblogs.com/2013/09/understanding-security-features-in-the-spa-template-for-vs2013-rc/

2013-11-20 12:06:57

相关问题

1. 认证用的ASP.NET Web API
2. ASP.NET web API认证与bacbone.js
3. Web api认证模式
4. 的ASP.NET Web API认证选项
5. 服务器上的Web API认证
6. 来自客户端的web api认证
7. Aspnet核心web api使用Azure保护
8. Web API：授权或/和认证
9. Web API认证响应属性
10. AngularJS和Web Api社交认证
11. MVC Web API自定义基本认证
12. API认证设计
13. WSO2 SAML api认证
14. Stocktwits API认证
15. 揭秘Web认证
16. aspnet web api如何验证在多部分表单数据中使用modelstate？
17. Alfresco的Web服务认证
18. API认证安全
19. 对REST API（认证）
20. Facebook API认证PHP
21. Box API认证jwt
22. 发布我的webapi项目aspnet web api angularjs
23. Facebook上的认证图api
24. Rails API的用户认证
25. laravel中的API认证
26. 没有SSL的API认证
27. Java Rally Rest API的认证
28. ASPnet web窗体导航
29. iOS JSON与ASPNET Web服务
30. 使用多个数据库的Web API认证