ASP.NET中基于令牌的移动设备身份验证

时间:2015-04-26 08:11:46

标签: security authentication asp.net-web-api token http-token-authentication

我正在尝试构建一个具有ASP.NET web api登录功能的移动应用程序,我需要实现基于令牌的身份验证,

我需要的是,当用户第一次使用用户名和密码登录时,将生成一个带有过期日期和刷新令牌的新令牌,我正在考虑刷新令牌,因为用户没有每次令牌到期时登录,

令牌保存在移动设备和数据库中,因此对于每个请求,无论是在请求标头中还是在发布的数据中发送令牌,

我不完全知道基于令牌的身份验证如何工作,无法将加密或散列的令牌发送给用户并在服务器中处理请求

修改 中间的攻击者只需读取令牌并开始使用令牌向服务器发送请求。我的意思是他不需要知道令牌的实际含义。

我创建了一个具有这些属性的类(UserID,Token,RefreshToken,ExpiryDate),但我读到这不是一个好方法,

我使用AES进行加密,使用SHA256进行哈希

谢谢你的帮助,

2 个答案:

答案 0 :(得分:0)

答案 1 :(得分:0)

搜索OpenID和OpenID Connect规范,他们会告诉您令牌在您的情况下应该如何工作(非机密隐式客户端流程)。如果您不想使用外部openid服务器,可以轻松地将OpenID端点添加到您的asp.net web api。