.NET Web Securityへのセキュリティの追加

Question

簡単に言えば、モバイルアプリケーション（Xamarin.Forms経由のAndroid/iOS/WinPhone）とのインターフェイスとなるASP.NET Web APIサイトのセキュリティを実装する適切な方法は何ですか？ウェブサイト（この瞬間に何が書かれているかは不明です）？ Web APIには、最初は読み込み/ SELECTメソッドだけがありますが、将来的にはwrite/INSERTメソッドもいくつかあります。

私はOAuthを作業側プロジェクトで少し使いました。これはWeb APIサイトを保護するのに十分ですか？もしそうなら、誰かが一般的に故障する可能性があります。単純に、私はそれを実装するためにどのような措置を取る必要がありますか？

ところで、Web APIは既存のデータベースに接続し、セキュリティのためにいくつかの新しいテーブルを追加することに問題はありません（私は必要と思われます）。

私はそれが私が考えることができるすべての関連情報だと思います。ご協力いただきありがとうございます。残念ながら、私の仕事のプロジェクトはこれほど公然としていないので、セキュリティはあまり強くありません。

Answer 1

Thinktecture IdentityServer3を参照する必要があります。

あなたの目標は何にも最適です。

基本的に、すべてのクライアント（異なるアプリケーション）がアクセストークンを要求してからWeb APIと話すことができるエンドポイントが必要です。

IdentityServer3のメリットは、各クライアントアプリケーションを個別に構成して、トークンサーバーと通信できることです。

私はうそをつくつもりではありませんが、最初はかなり勉強していましたが、それは十分な価値がありました。

あなたがpluralsightにアクセスできない場合は、OpenId &アクセストークンセキュリティを介してアクセスし、IdentityServer3で実装する素晴らしいコースがあります。

また、そこには、Brock AllenまたはDominic Baierのビデオがたくさんあり、そこにIdentityServer3ミドルウェアがあります。