我已经为我的 (android) 移动应用程序构建了一个 Restful Web API,现在我正在尝试保护对 API 的访问。我在这个主题上阅读了大约一个星期,我得到了整个范围 - 从那些说不可能保护 Restful API 的人到那些说 Https (SSL) 就足够的人。
在这里我不想开始讨论那个。我已经解决了 OAuth 或 OAuth2 没关系(据我所知,OAuth 似乎是更好的选择,但在 Microsoft 教程中,他们使用 OAuth 2,所以在这里我很困惑),是的,我知道它们完全不同,但我对搜索感到非常沮丧,我会接受(我必须承认我认为这要容易得多)。正如我所说,我搜索了大约一个星期,我得到的只是概念(很多)。你发送一些数据 -magic start - 通常是用户名/密码到服务器,你的数据正在被处理,你会得到一个 token - 魔法停止 -。在 SO 上有很多关于这个主题的问题,但大多数答案都不准确(不幸的是无法使用)。例如我得到了这个 How to secure WEB API ,很好的答案,但并没有真正使用它们,或者这个 Implement Web API with OAuth and a Single Page Application .我还从 Microsoft 教程中获得了示例,但是代码中有很多开销,并且关于 OAuth 的部分不是很清楚(这很不幸,因为整个示例都应该是关于 OAuth 的)。我可以发布大量声称谈论这个话题的链接,但实际上它们没有帮助。
我正在寻找的是一个简单的、非常非常简单的 ASP.NET OAuth(2) 实现示例。如果我可以将它与 fiddler 一起使用,在标题中提供用户名/密码并使用 grant_type: xxx,那就太好了。我取回了 token (允许的用户名/密码可以在项目内部进行硬编码,因此不需要 Entity Framework 实现或后端的任何数据库)。如果有人能解释我如何使用此 token 来授权用户,那也很棒(我知道我必须为 Controller 函数提供 [Authorize] 属性,但是此 token 检查是如何以及在何处进行的) ?)。但是请不要发布任何关于 OAuth 的理论,我不需要那个,我在这里寻找在 Asp.Net Web Api 中 OAuth 的实际实现
谢谢
最佳答案
这是detailed post关于为您的 Web API 项目添加资源所有者密码凭据流。
关于asp.net - OAuth (OAuth2) ASP.NET REST Web API (Self host - windows service) 实现,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26446656/