我创建了一个新的ASP.NET Web API,一切都运行得很好。我现在要保护API的安全。
我把Authorize属性放在我的基本控制器之上,如果我想在ASP.NET应用程序本身内进行API调用,它可以正常工作。
但是,我想知道,对于希望进行API调用并通过授权的外部客户端,最佳实践是什么?另外,请记住我有自定义的身份验证逻辑。
客户端应该如何发送凭据?我应该在什么时候处理这些凭证?
发布于 2013-11-06 00:31:06
基本上,您需要通过网络将加密的用户名和密码发送到您的服务器应用程序,然后您可以让您的API生成一个随机会话ID,并将其保存在一个列表(服务器端)中,然后将ID发送回客户端。现在,每次客户端向服务器发送内容时,都要在数据包中包含他接收到的ID,这样服务器每次都可以检查它。
在客户端断开连接或固定超时时,您可以从服务器列表中删除ID,并要求客户端重新进行身份验证。
https://stackoverflow.com/questions/19793845
复制相似问题