【发布时间】:2012-11-18 12:09:52
【问题描述】:
我们正在与第 3 方一起开发 iPhone 应用程序。该应用程序将通过 HTTP 从 ASP.NET WebAPI 请求数据。大多数情况下,这些请求是只读的,没有副作用,但其中一些允许用户更改数据或发送电子邮件。如何保护 API 不被未使用我们应用程序的用户调用?包含一个简单的密码似乎无效,因为任何有权访问该应用程序的人都可以轻松嗅探它。
是否有标准机制或技术来防止此类问题?
编辑: 添加一个简单的密码来请求然后对 API 使用强制 HTTPS 是否足够?如果使用 HTTPS,也许添加密码并不能提高安全性?
【问题讨论】:
-
您需要在 REST 服务的身份验证/授权中执行此操作。您可以在其中获取测试用户是否是经过身份验证的用户。
标签: jquery api security asp.net-web-api