如何确保一个宁静的webapi核心

Question

我正在开发一个webapi核心，其中的方法很少。这是一个宁静的网络API。 我不想要人们会抓住我的uri并开始使用它的情况。我只想要 经过身份验证的用户可以访问webapi。我是新来的。我正在使用webapi核心。 一个xamarin.forms应用程序将使用此webapi。 我会理解如何确保这一点。

Answer 1

我认为这个REST安全备忘单可能很有用

https://www.owasp.org/index.php/REST_Security_Cheat_Sheet

https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/REST_Security_Cheat_Sheet.md

Answer 2

我建议你采取以下方法

1. 用户数据库 - 身份或自定义商店
2. 授权您的网络API控制器
3. 使用JWT生成JSON Web令牌并验证它们。
4. 仅在JWT验证时提供访问权限。 ASP.NET Core API中的出色支持
5. 提供登录（令牌生成器API端点），将JWT作为授权标头传递给进一步的API调用