我已经构建了一个Web API,现在我正在尝试确定保护它的最佳方法。
我想使用令牌和凭证,因此,一旦用户被验证,在将来的请求中,可以使用http请求传递令牌。此API将始终由一个特定帐户调用,用户名/密码将始终保持不变。
我正在使用已经存在的站点后端,该后端已实现自己的登录并存储用户数据。所以我想远离创建新的数据库表来存储用户记录。出于这个原因,我认为实施.Net Identity可能是一种矫枉过正的行为。
我想到的其中一个选项是从http请求获取凭据并尝试使用它进行SQL连接。如果连接通过,那么用户是合法的。如果没有,则意味着我必须返回拒绝访问权限。这是一个很好的方式吗?如果是,我可以使用什么来生成令牌和验证?
答案 0 :(得分:0)
查看本指南,该指南特定于.NET的Oauth令牌:
OAuth with JSON Web Tokens In .NET
另外,请务必遵循指导原则,因为出于安全原因,令牌必须在一段时间后过期并续订。当然,你不应该使用永久令牌。