22
データセキュリティが不可欠で、ASP.NETアプリケーションがAzure上で実行されていることを考慮すると、Web APIに最も適した認証方法はどれですか?Web API認証のベストプラクティス
A
答えて
43
認証を処理してWeb APIを保護する場合は、Dominick Baierによって設定されたガイドラインに従うことをお勧めします。世界のASP.NET ID管理に関する優れた専門家はいないかもしれません。
あなたはNuget、Thinktecture.IdentityModelで彼のhttp://leastprivilege.com/のブログや素晴らしいウェブAPIアイデンティティパッケージを見つけることができます - http://nuget.org/packages/Thinktecture.IdentityModel 優れたオープンソースのライブラリの大半と同様に、すべての機能は、あなたの自由のために利用可能であることから、そこにあります車輪を再構築する必要はありません。
これは、.NET 4.0/WIFおよび.NET 4.5(MVCおよびWeb APIのサポートを含む)用のアクセス制御ライブラリ&のトップダウンのIDです。
あなたのWeb APIを確保に関する詳細を知りたい場合は、あなたも、このビデオhttp://vimeo.com/43603474見なければならない - NDCオスロからドミニクの話をこれらのような2012年
5
質問は非常に「オープン」であり、それはすべての要求に依存あなたのプロジェクトのセキュリティが必要な場合は、さまざまなセキュリティ手段を組み合わせて検討する必要があります。
HTTPSとMulti-factor authenticationを組み合わせて使用します。たとえば、クライアント証明書認証(ドングルに格納された秘密鍵)と基本認証(ユーザー名/パスワード)があります。これにより、たとえ悪意のあるユーザーがユーザー名とパスワードを保持しても、ハードウェアドングルなしではアプリケーションにアクセスできなくなります。また、ハードウェアトークンが盗まれたとしても、ユーザー名とパスワードを知らなくても役に立たなくなります。
これらは、いくつかの良いブログの記事あなたが始めるために次のようになります。
そして、これは、一般的にウェブに適用された場合でも、あなたがを続ける前にthe OWASP Top 10 for .NET developersをお読みください他に何か。
関連する問題
- 1. APIキー認証とユーザー認証のベストプラクティス
- 2. Webサービスクライアント証明書/認証ベストプラクティスのソリューション
- 3. Web APIの認証
- 4. API認証のベストプラクティスは何ですか?
- 5. カスタム認証 - Web API
- 6. ASP.NET Web API認証
- 7. xamarin web API認証
- 8. バックグラウンドアプリのSalesforce.com API認証のベストプラクティス
- 9. サーバー上のWeb API認証
- 10. MVCプロジェクト(認証)のWeb API
- 11. Azure Web APIの認証トークン
- 12. Web Api Coreのソーシャル認証
- 13. Devise認証によるAPIアクセス - ベストプラクティス
- 14. 認証と認可他のWeb APIからのASP.NET Web API
- 15. WebリソースのDynamics CRM Web API認証エラー
- 16. ASP.NET Web APIの承認と認証
- 17. カスタム認証asp.netコアweb api
- 18. 外部認証ASP.NET Web API
- 19. Asp.net Web Apiトークン認証
- 20. Spotify Web API:基本認証
- 21. MVCアプリケーションでWeb API認証?
- 22. Umbraco Web API - Cookie認証
- 23. Windows認証とAsp.Net Web API
- 24. Web APIカスタム認証フィルタ
- 25. ASP.NET(MVC5)Web APIプロジェクトのユーザの認証
- 26. Web APIサービス/モバイルアプリのFacebook認証
- 27. 2 Web ApiプロジェクトのFactor認証
- 28. 認証なしのセキュアWeb APIアクション
- 29. Web apiクライアントのアクセストークンIdSrv3認証
- 30. MVCとWeb APIのOwin認証