我正在ASP.Net中构建一个将由网站和移动应用程序使用的rest API。它的移动部分已完成,它会生成应用程序挂起的身份验证令牌,并作为每个请求的标头发送给API。
我现在正在尝试构建API的Web应用程序部分,并意识到我可能在API的安全性方面犯了错误。在我看来,我不能简单地将Auth Token传递回来回发送的Web应用程序,因为这会使我的API容易受到CSRF的攻击。我也无法通过移动设备对API进行API检查,因为移动设备无法设置Cookie。
保护此API的最佳方法是什么,以便网站和移动应用可以安全地使用它?
答案 0 :(得分:0)
事实证明,只要授权密钥在合理的时间内到期,使用标头来回传递auth密钥就完全没问题了。