我正在研究MVC5和Web API应用程序。要在该应用中使用组织帐户以及外部帐户。我想知道什么是保护My Web API和MVC应用程序(身份验证和授权)的最佳方法。
我们是否需要为MVC和WebAPI添加两个独立的身份验证机制?
我的申请结构将在
之下应用层(UI) - > API层(Web API) - >数据访问层(模型+实体框架)。
任何人都建议我在各方面确保申请的正确方向。
答案 0 :(得分:1)
尝试
在所有方面保护我的应用程序
作为概念有点“宽”。
无论如何,第一个也是最重要的是保护您的API访问和您的应用程序登录。我建议您实施基于令牌的完整身份验证,这也可以让您完全访问外部身份验证提供程序,如fb,twitter甚至您的自定义adfs提供程序。
查看this文章,了解一个非常好的实现(我亲自以这种方式制作了一堆应用程序并取得了巨大的成功)。
其次,但同样重要的是使用HTTPS。不要忘记它。
您还可以查看IdentityServer,这可以极大地简化您的身份验证和授权层。