使用 asp.net mvc 4 web api 的安全性答案

【问题标题】：security with asp.net mvc 4 web api使用 asp.net mvc 4 web api 的安全性
【发布时间】：2014-05-03 10:41:29
【问题描述】：

我使用 web api 模板创建了我的第一个 mvc 4 项目。我已将 CORS 配置为限制其他网站直接访问我的 api 到其他网站。我使用 ajax 将 api 提供的数据检索到网页中，效果很好。

我的 web api 的地址是 http://www.xyz.com/webapi/ 其中一个操作是 http://www.xyz.com/webapi/api/sales 我怎样才能防止任何人访问 /webapi 和 /webapi/api/sales 并将数据（屏幕抓取）用于自己的用途。我不希望任何其他服务浏览器访问 Web api，只希望出现在我设置的另一个网站上的 ajax 查询。

提前致谢！

【问题讨论】：

这是要做的功课：asp.net/web-api/overview/security

标签： asp.net ajax asp.net-mvc asp.net-mvc-4 asp.net-web-api

【解决方案1】：

方法 1 - 获取不记名令牌

你可以实现这个 - Individual Accounts in ASP.NET Web API

在本教程中，控制器标有[Authorize]，并遵循以下步骤。

方法 2 - 使用私有 API 密钥

您可以在每个 Web api 调用中使用 api 密钥，并在服务器端检查 api 密钥是否有效，如果不返回 401，未授权。这个 api 密钥可以保存在你的 web.config 文件中。

【讨论】：