2017-05-23 14 views
1

ウェブサイトとモバイルアプリの両方で使用されるASP.NetにレストAPIを構築しています。そのモバイル部分が実行され、アプリケーションがハングするAuthトークンが生成され、すべてのリクエストのヘッダーとしてAPIに送信されます。モバイルアプリとウェブで使用されるAPIを保護する方法

私は現在、APIのウェブアプリケーション部分を構築しようとしています。私がAPIのセキュリティを誤った可能性があることを認識しています。自分のAPIをCSRFに脆弱にしてしまうので、認証トークンを前後に送信されるWebアプリケーションに戻すことはできないようです。モバイルからCookieを設定できないため、モバイルからのCookieのAPIチェックもできません。

このAPIを保護して、ウェブサイトとモバイルアプリの両方で安全に使用できるようにするにはどうすればよいでしょうか?

+0

あなたの認証トークンが「承認:基本」でない限り、私はあなたがCSRFに対して脆弱だとは思わない。 [セキュリティスタック交換に関するこの記事](https://security.stackexchange.com/questions/32574/csrf-with-oauth-or-bearer-authorization-headers)を見てください。 – LB2

答えて

0

ヘッダーを使用して認証キーを前後に渡すと、認証キーが妥当な時間内に期限切れになる限り、完全に正常であることが分かります。

関連する問題