我目前使用访问密钥保护了几个Web PI端点。我并不反对放弃这种安全模式。
现在,我们正在构建一个将使用这些服务的Web应用程序。前端将具有登录屏幕以保护应用程序的部分。我还想让Web API服务可供我们自己以外的应用程序使用(想想公共API)。
我应该如何保护我的服务并允许从我们自己的网络用户界面和服务进行访问?
答案 0 :(得分:0)
有许多方法可以保护Web API 2.0端点。
您似乎已经使用访问密钥保护了您的终端,不知道您的客户如何知道访问密钥。
对于您的网络应用,我会问:
用户如何按照您的描述登录?他们提供证书的权力是什么?您是否可以使用该权限将令牌附加到Web服务的请求中?
您提到您还希望通过公共API提供公共访问权限。他们会有什么凭据?他们要求访问权限的权限是什么?您可以使用不同类型的凭据以多种方式进行设置,例如用户名和密码/客户端证书/访问密钥。
微软有一些非常好的资源,包括:
http://channel9.msdn.com/Shows/Web+Camps+TV/Securing-ASPNET-Web-APIs
答案 1 :(得分:0)