Какой из них является лучшим методом аутентификации для веб-API, учитывая, что безопасность данных имеет важное значение, и приложение ASP.NET работает на Azure?
Лучшая практика аутентификации веб-API
Ответ 1
При работе с проверкой подлинности и обеспечением безопасности веб-API я рекомендую вам следовать рекомендациям, установленным Домиником Байером. Не может быть лучшего эксперта по управлению идентификацией ASP.NET в мире.
Вы можете найти его блог в http://leastprivilege.com/ и отличный пакет API веб-API в Nuget, Thinktecture.IdentityModel - http://nuget.org/packages/Thinktecture.IdentityModel Как и в большинстве хороших библиотек с открытым исходным кодом, поскольку все функции доступны для вас бесплатно, нет необходимости изобретать велосипед.
Это верхняя и нижняя библиотека управления доступом и доступа для .NET 4.0/WIF и .NET 4.5 (включая поддержку MVC и веб-API).
Если вы хотите узнать больше о защите вашего веб-API, вы также должны посмотреть это видео http://vimeo.com/43603474 - поговорить с Домиником из NDC Oslo 2012.
Ответ 2
Вопросы, подобные этим, очень "открытые", все зависит от требований вашего проекта. Если вам нужна безопасность, вы должны рассмотреть комбинацию различных мер безопасности.
Возьмите HTTPS в сочетании с многофакторной аутентификацией. Примером может служить аутентификация сертификата клиента (закрытый ключ, хранящийся на ключе) и базовая аутентификация (имя пользователя/пароль). Это гарантирует, что, даже если злонамеренный человек удержит имя пользователя и пароль, он не сможет получить доступ к приложению без аппаратного ключа. И наоборот, даже если аппаратный токен украден, он будет бесполезен, не зная имя пользователя и пароль.
Это могут быть хорошие сообщения в блоге, чтобы вы начали:
- Обеспечение безопасности веб-API ASP.NET
- Защита ASP.NET WebAPI с использованием сертификатов клиента
И даже если это относится к сети в целом, вы должны прочитать OWASP Top 10 для разработчиков .NET, прежде чем продолжить что-либо еще.