我想问几个问题,以便更好地理解一些程序。我正在尝试编写一个web api项目,它将成为Web和移动客户端的后端。
我想到的问题是安全问题。我不想使用Identity或任何其他提供商。我想使用自己的数据库用户和角色结构。
只有经过身份验证的客户端应用程序才能使用我的应用程所以匿名应用程序不应该使用它。
那么该方法应该是什么?我编写了一个自定义AuthorizationAttribute并检查了一些自定义标头,如“AppID”,“AppSecurity”密钥,我存储在我自己的数据库中,如果客户端发送正确的appId和密钥,则表示应用程序已通过身份验证,以使用API对我来说听起来不太安全。
另一个问题是;假设我已经开发了一个javascript Web应用程序,我首先要在进行GET / POST / PUT / DELETE等请求之前验证应用程序本身,这意味着我要添加某种身份验证数据,如用户名,appkey,密码等。用于在标头中发送“AppID”和“AppSecurity”键的js文件之一。知道如何使用某些开发人员工具或fiddler的客户端可以轻松捕获发送到服务器端的标头值吗?即使我在我的json请求的主体上传递了身份验证值,它仍然可以在发送到客户端的js文件中找到。我也对此感到困惑
所以基本上我想构建一个服务器端api,它将提供数据并仅从经过身份验证的客户端应用程序获取数据。我需要的是一个简单的例子,不使用任何身份提供者。