ネイティブアプリケーションからCRUDを実行するRESTful APIを保護する方法

Question

私の.NETサーバーでは、クライアント（WPF、MVC、IOS、Android）から来るCRUD操作を実行するためにRest APIを使用します。 私の認証および認可サーバーはIdentity Serverです。

私のAPIを保護する最も安全な方法は何ですか？ SSL、Oauth2 & openIDが接続されているのか、それとも接続されていないのですか？

私はOauth2 & openID connectがログインメカニズムに適していてAPIには適していないことを読んでいます、それは本当ですか？

Answer 1

OAuth 2.0は、クライアント（アプリケーション）がユーザー（リソース所有者）の代わりにAPIにアクセスできるようにする認証フレームワークです。

OpenID Connectは、ユーザーがWebアプリケーションにログインできるようにするOAuth 2.0の最上位層です。

OpenID Connectを使用すると、ユーザーがMVCアプリケーションにログインできるようになります。その後、code authorization flowを使用してAPIのトークンを取得できます。

あなたのWPFとモバイルクライアント（Android/iOS）はimplicit flow、またはクライアントシークレットのないコード許可フローのいずれかを使用して、APIと通信するトークンを取得します。