我正在使用 Asp.Net MVC 6 开发一个新项目。每个 Controller 都将像一个独立的 SPA,其中 Index 方法将呈现一个 View ,所有操作都将通过 Web Api 调用完成。此 Web Api 还将用于 future 的移动应用程序以及第三方系统。
从集成的角度来看,通过 ssl 使用 Owin 基本身份验证是否安全?在旧项目中,我为 Web API 项目使用 token ,但在这个新项目中,MVC 和 Web Api 将混合使用,我需要一种替代的身份验证方法。
最佳答案
Basic authentication的主要问题是用户名和密码几乎以明文形式传输(它实际上是一个 base64 编码的字符串,很容易从中恢复明文)。这意味着客户端和服务器之间的任何人都可以轻松检索用户名和密码。
但是,如果您只允许通过 SSL 进行基本身份验证,那么您的流量将被加密,您可以合理地确定它是“安全的”。假设它是一个很好的 SSL 实现。
关于asp.net - 使用 Asp.net MVC 6 和 Web Api 进行身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31660495/