我正在努力将现有的WCF Web服务转换为WebAPI服务。但我是WebAPI的新手,对于如何实现WebAPI中WCF安全绑定中声明的相同安全性感到困惑。
在WCF Web服务中,服务的安全绑定在web.config文件中定义。在研究如何在WebAPI中实现类似的安全性时,我遇到了一些似乎使用WCF模型的文章,例如Wcf WebApi configuration equivalent to code。但这似乎是被弃用的功能,而不是最终版本的一部分。当前版本中不存在(我可以找到)类和方法。
我看过的大多数其他文章/书籍都没有提及任何明确的,可配置的安全绑定 - 而是依靠主机配置,消息处理程序,身份验证属性或操作过滤器来处理身份验证和授权安全检查。 (例如:1,2,3)
我很乐意依靠主机,消息处理程序等实现安全性,但不知道我是否完全遗漏了某些东西。如果有更好的方法通过配置或其他方式进行设置,我不想将安全性作为消息处理的一部分进行攻击等。
我是否应该依赖主机,消息处理程序,身份验证属性等来实现WebAPI中的安全性,还是有更合适的方法来实现它?如果是这样,怎么样?