如何使用查询身份验证来保护rest api

时间:2015-07-27 08:33:08

标签: android asp.net web-services rest rest-security

我有一个由asp.net webservice创建的rest API,我有一个android和IOS应用程序,它调用api并向用户显示一些数据。

我需要的是以只有我的应用程序可以通过api和其他请求拒绝访问数据的方式来保护我的API。

我应该提一下,我的应用程序不是用户群,因此没有登录和身份验证,我也不想强制用户登录!!!

根据我的搜索,我需要查询身份验证(查询参数)来实现这一点。

我需要的是如何创建这种查询参数以及如何验证它们? (性能对我来说太重要了)

提前致谢

2 个答案:

答案 0 :(得分:0)

您可以使用基本身份验证或任何基于令牌的身份验证机制。 因此,在对api的每个请求中,获取身份验证标头(http请求标头中的身份验证令牌)并验证是否允许客户端调用它。如果失败,则通过必要的HTTP状态代码发送。您只需要确保要允许调用api的应用程序在其请求标头中使用这些安全令牌。您可以根据需要将这些凭据或安全令牌保存在内存或文件或数据库中。

答案 1 :(得分:0)

我不是安全专家,但据我所知,你想要的是不可能的。攻击者可以访问您在客户端上嵌入的用于验证应用程序的任何内容,攻击者可以使用该信息访问您的API。