データセキュリティが不可欠で、ASP.NETアプリケーションがAzure上で実行されていることを考慮すると、Web APIに最も適した認証方法はどれですか?Web API認証のベストプラクティス
答えて
認証を処理してWeb APIを保護する場合は、Dominick Baierによって設定されたガイドラインに従うことをお勧めします。世界のASP.NET ID管理に関する優れた専門家はいないかもしれません。
あなたはNuget、Thinktecture.IdentityModelで彼のhttp://leastprivilege.com/のブログや素晴らしいウェブAPIアイデンティティパッケージを見つけることができます - http://nuget.org/packages/Thinktecture.IdentityModel 優れたオープンソースのライブラリの大半と同様に、すべての機能は、あなたの自由のために利用可能であることから、そこにあります車輪を再構築する必要はありません。
これは、.NET 4.0/WIFおよび.NET 4.5(MVCおよびWeb APIのサポートを含む)用のアクセス制御ライブラリ&のトップダウンのIDです。
あなたのWeb APIを確保に関する詳細を知りたい場合は、あなたも、このビデオhttp://vimeo.com/43603474見なければならない - NDCオスロからドミニクの話をこれらのような2012年
質問は非常に「オープン」であり、それはすべての要求に依存あなたのプロジェクトのセキュリティが必要な場合は、さまざまなセキュリティ手段を組み合わせて検討する必要があります。
HTTPSとMulti-factor authenticationを組み合わせて使用します。たとえば、クライアント証明書認証(ドングルに格納された秘密鍵)と基本認証(ユーザー名/パスワード)があります。これにより、たとえ悪意のあるユーザーがユーザー名とパスワードを保持しても、ハードウェアドングルなしではアプリケーションにアクセスできなくなります。また、ハードウェアトークンが盗まれたとしても、ユーザー名とパスワードを知らなくても役に立たなくなります。
これらは、いくつかの良いブログの記事あなたが始めるために次のようになります。
そして、これは、一般的にウェブに適用された場合でも、あなたがを続ける前にthe OWASP Top 10 for .NET developersをお読みください他に何か。
- 1. APIキー認証とユーザー認証のベストプラクティス
- 2. Webサービスクライアント証明書/認証ベストプラクティスのソリューション
- 3. xamarin web API認証
- 4. ASP.NET Web API認証
- 5. バックグラウンドアプリのSalesforce.com API認証のベストプラクティス
- 6. Azure Web APIの認証トークン
- 7. MVCプロジェクト(認証)のWeb API
- 8. Devise認証によるAPIアクセス - ベストプラクティス
- 9. Windows認証とAsp.Net Web API
- 10. ASP.NET Web APIの承認と認証
- 11. Web APIサービス/モバイルアプリのFacebook認証
- 12. MVC Web APIのカスタム基本認証
- 13. Web APIリクエスト - 認証リクエストの返信
- 14. ASP.NET Web APIを使用した基本認証とフォーム認証
- 15. Web API認証基本とベアラー
- 16. web apiで基本認証でログイン
- 17. Azure AppサービスTwitter認証Web API
- 18. WEB APIを使用したカスタム認証
- 19. マルチテナントデータアクセスを使用したWeb API認証
- 20. Asp.net MVC 4 + WEB API - カスタム認証トークン
- 21. SQL filestream認証のベストプラクティス
- 22. API認証Sinatra
- 23. ASP.NET Web Api - クエリーストリング値とAPIセキュリティからの認証
- 24. node.js API認証
- 25. APIのレール認証
- 26. Jersey Client API - 認証
- 27. Webアプリケーションからapi api(ユーザー認証)にトークンを渡す
- 28. Angular JS API認証
- 29. Facebook API認証
- 30. Steam API認証