.netコアAPIプロジェクトを保護する方法

Question

IISの背後にあるAngular 4で書かれたWeb UIアプリケーションは、SSLが必要で、1対1のクライアント証明書マッピングがあります。

このSSL Webアプリケーションは、SignalRを使用してuiアプリにデータをプッシュする.netコアAPIプロジェクトを呼び出します。

これらは、同じドメインで2つの異なるURLを実行します。

https://ui.mysite.com 
https://api.mysite.com 

両方のアプリケーションは一般に公開されておらず、優れたセキュリティが必要です。

個々の証明書を使用してuiサイトをロックするのは快適です。 SSL証明書は信頼できる認証局を経由し、クライアント認証のための自己署名証明書を作成します。

あなたが唯一のUIサイト（およびJSONレスポンスを見て、すなわち、デバッグのために私たちのネットワーク内の内部開発者が）アクセスできるように、外の世界にAPIサイトをロックダウンすることをお勧め？

私はoauth2/jwtについて言及してきました。どんな例？アクセスを必要と

だけの人が私たちの会社内ではなく旅行するとき、すなわち、携帯電話やノートパソコン社内ネットワークに接続されていないデバイス上の人々です。

Answer 1

JWTを使用してWeb APIを保護することは間違いありません。ここで

は良い出発点である：基本的にこの実装がどのように機能するか https://dev.to/samueleresca/developing-token-authentication-using-aspnet-core

[Authorize]属性を持つすべてのコントローラやアクションが要求のAuthorizationヘッダーを介して送信されるアクセストークンを必要としています。このアクセストークンは、ユーザー名とパスワードを使用して/api/tokenにPOST要求を送信することによって取得されます。各キーには、コードで変更できる有効期限が設定されています。

これは単純なJWTですが、あなたはまた、そのような役割として主張して、それを拡大することができます。