我正在开发使用REST .NET Web API的Web应用程序。
我的Web API是无状态的,并且我使用的是静态HTML和JQuery请求。

题....
进行登录/密码验证的最佳方法是什么?

申请流程:

  • API XHR请求
  • 401状态的
  • API响应
  • JS重定向到登录页面
  • API身份验证XHR请求(带有登录名和密码)
  • 带有 token 的
  • API响应
  • 新的API XHR请求(带有 token )
  • 带有数据的
  • API响应

    最佳答案

    我相信答案就在于此;这实际上取决于API背后信息的敏感程度。

    如果我们谈论的是非常敏感的数据,我将实现Amazon uses模型

    对于大多数网站,您所描述的都很好。我会使用https来提高安全性。您可以通过cookie或自定义 header 传输加密的 token 。

    在您的API Controller 中,您可以使用[Authorize]属性来限制对那些需要身份验证的端点的访问。

    您可以公开一个委派处理程序,该处理程序处理所有请求并在 token 无效的情况下以401进行响应,或者设置当前委托(delegate)人,以便可以满足Authorize属性。

    如果您需要任何代码示例,请让我知道,我之前已经这样做过。

    关于asp.net - .NET Web API +静态HTML + JS的最佳身份验证方法,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/15801776/

  • 10-10 13:46
    查看更多