我已经阅读了一些关于asp.net web api内部的身份验证和授权的内容,并且我已经明白我基本上必须使用ssl才能让人们获得身份验证令牌。如果我没有误解了theese authenticantokens被发送到标题内?如果他们使用一些工具进行互联网收听,SSL会为公众隐藏theese标题而不是赶上?如果是这样的话,我想我可以创建一个" custom"除非通过api调用发送特定标头,否则不允许api运行进行身份验证?如果我使用ssl,哪些人不应该赶上?
我意识到我已经使用了很多问号,但这只是为了说明我不清楚的想法,任何帮助或输入都受到高度赞赏,谢谢!
答案 0 :(得分:0)
通过SSL进行身份验证,授权和保护连接是Web应用程序的3个不同部分。
<强>验证
基本上,身份验证处理 who 。例如,通过登录,您可以提供用户和密码。应用程序现在知道你是谁。
<强>授权
授权管理用户的访问权限。它说,在 what 您可以访问。例如,如果您提供了正确的凭据,则 authenticated ,但可能不是 authorized 。
<强> SSL
SSL正如您所说的那样保护连接。如果网络流量超过HTTPS,您就无法嗅探(使用WireShark或Fiddler)网络流量。这是运行Web api应用程序的IIS上的设置。您无需创建“自定义”身份验证。
我希望这会有所帮助。