我已经在这里和其他地方阅读了很多帖子,但我无法弄清楚我应该做些什么才能正确保护我的API。
我开发了一个匿名调查问卷angularjs 1. * app,它调用了asp.net core 2.0 web api。用户从不进行身份验证,如果他们愿意,可以在流程结束时添加他们的电子邮件地址。
仅供参考,它是CQRS后端,托管在Azure VM上。
我最初认为我可以使用像Auth0这样的服务为临时用户创建一个令牌,其中包含完成调查问卷的人的唯一ID(如sessionId)和正在创建的问卷的唯一ID (这些是在流程开始时生成的)。但是,我不确定这是对的,我无法弄清楚如何做到这一点,并在服务器上验证它(我会写一个自定义授权处理程序或类似的)!
我还计划使用API密钥(由Auth0生成)并在每次调用时验证。这似乎很容易,虽然我不确定如何保护API密钥,因为它将保存在客户端JavaScript中。
非常感谢任何建议。