我正在尝试使用 asp.net Web api 创建 REST 服务,一切工作正常,但我现在遇到了如何进行身份验证。
我有点困惑从哪里开始,这就是我一直在想的。
我有一个由许多资源组成的 REST api,每个资源都需要用户注册,那么执行此操作的最佳操作是什么?我是否应该在每次调用服务时在 header 中发送用户名和密码,以便我可以使用在服务器上进行身份验证
AuthorizationFilterAttribute
我至少应该加密它?我有兴趣知道其他人在做什么,我知道有一个创建 token 的概念(我认为它是短暂的),因此用户将进行身份验证,然后会收到一个 token ,然后该 token 将被发送进一步调用该服务。那么当token过期时我该如何处理呢?
我还有一个用于注册新用户的资源,实际上唯一调用此资源的是我的客户端(Android、iPhone)。那么我是否应该让它不包含任何身份验证方法,或者设置硬编码密码或类似的内容,以便至少没有其他人可以注册新用户?请记住,该服务将在互联网上公开。
我似乎无法找到正确的方法来做到这一点,我当然想尝试第一次就做对,这样我就不必完全重构服务。
最佳答案
以下链接似乎涵盖了一些明智的 DIY 选项 http://codebetter.com/johnvpetersen/2012/04/02/making-your-asp-net-web-apis-secure/ 。 “基于公钥/私钥的 token ”部分涵盖了我过去有效使用的一种方法,也许会对您有所帮助。
目前虽然我正在使用 http://identityserver.codeplex.com/带有 OAuth 持有者 token (“资源所有者密码凭证”授予类型)的 Thinktecture IdentityServer...我发现这是一组非常好的代码和示例,可以让 IOS 客户端获取 token 并调用 WebApi。
如果您确实必须保护您的注册屏幕,您可以使用设备上安装的客户端证书进行身份验证...Thinktecture 服务再次可以在这里提供帮助 https://identity.thinktecture.com/idsrv/docs/default.htm?RequestingatokenusingOAuth2.html 。尽管如果您的注册过程是安全的What are best practices for activation/registration/password-reset links in emails with nonce例如电子邮件确认和激活等。公开访问可能是安全的 - 这一切都取决于您的业务需求和所需的注册工作流程。
您至少应该使用传输级别安全性 SSL,但正如您建议的消息级别安全性,例如加密任何 token 是非常明智的 - OAuth 规范对此有话要说 http://self-issued.info/docs/draft-ietf-oauth-v2-bearer.html#mitigation .
关于过期 token - 我们倾向于以与密码更改政策相同的频率使 token 过期;尽管保持有效时间较短很重要(以最大限度地减少 token 盗窃的影响),并且需要考虑平衡您的要求。 OAuth有刷新 token 的概念Why Does OAuth v2 Have Both Access and Refresh Tokens?这里有一些围绕这个主题的争论和链接,我们目前没有使用这种方法,因为我们使用的 ID 服务器目前不支持这种方法。
保证您的代币安全也是一个考虑因素,例如我们在 IOS 中使用 KeyChain,但如果可能的话,还要考虑移动设备管理策略,就好像这些 token 或密码是可能被盗的设备之一,或许可以考虑越狱检测、锁屏强制执行等。
关于ASP.NET Web Api (REST) : Authentication using the users credentials or a token? 保留 "Register new user"资源密码吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11378046/