【发布时间】:2017-04-17 13:36:01
【问题描述】:
我已经构建了一个 Web API,现在我正在尝试确定保护它的最佳方法。
我想将令牌与凭据一起使用,因此,一旦用户被验证,在未来的请求中,令牌就可以与 http 请求一起传递。此 API 将始终由一个特定帐户调用,并且用户名/密码将始终保持不变。
我正在使用一个已经存在的站点后端,它实现了自己的登录并存储了用户数据。所以我想远离创建新的数据库表来存储用户记录。出于这个原因,我认为实现.Net Identity 可能有点矫枉过正。
我正在考虑的选项之一是从 http 请求中获取凭据并尝试与之建立 SQL 连接。如果连接通过,则用户是合法的。如果没有,这意味着我必须返回拒绝访问。这是解决问题的好方法吗?如果是,我可以使用什么来生成和验证令牌?
【问题讨论】:
标签: api security asp.net-web-api