【问题标题】:Token based authentication with mobile devices in ASP.NET在 ASP.NET 中使用移动设备进行基于令牌的身份验证
【发布时间】:2016-03-24 06:31:30
【问题描述】:

我正在尝试使用 ASP.NET Web api 构建具有登录功能的移动应用,并且我需要实现基于令牌的身份验证,

我需要的是,作为用户第一次使用用户名和密码登录时,将生成一个带有过期日期的新令牌以及一个刷新令牌,我正在考虑刷新令牌,因为用户没有每次令牌过期时登录,

令牌保存在移动设备和数据库中,因此对于每个请求,无论是在请求标头中还是与发布的数据一起发送令牌,

我不完全了解基于令牌的身份验证是如何工作的,将加密或散列的令牌发送给用户并在服务器中处理请求

编辑: 中间的攻击者可以读取令牌并开始使用令牌向服务器发送请求。我的意思是他不需要知道令牌的实际含义。

我创建了一个具有这些属性(UserID、Token、RefreshToken、ExpiryDate)的类,但我读到这不是一个好方法,

我使用 AES 进行加密,使用 SHA256 进行哈希

感谢您的帮助,

【问题讨论】:

    标签: security authentication asp.net-web-api token http-token-authentication


    【解决方案1】:
    【解决方案2】:

    搜索 OpenID 和 OpenID Connect 规范,它们会准确告诉您令牌在您的情况下应该如何工作(非机密隐式客户端流程)。如果您不想使用外部 openid 服务器,可以轻松地将 OpenID 端点添加到您的 asp.net Web api。

    【讨论】:

      猜你喜欢
      • 2016-08-24
      • 2015-05-16
      • 2018-03-20
      • 1970-01-01
      • 1970-01-01
      • 2017-09-13
      • 1970-01-01
      • 1970-01-01
      • 2020-04-13
      相关资源
      最近更新 更多