22
¿Cuál es el mejor enfoque de autenticación para una API web, teniendo en cuenta que la seguridad de los datos es esencial y que la aplicación ASP.NET se ejecuta en Azure?Mejor práctica de autenticación API web
A
Respuesta
43
Al tratar con la autenticación y la seguridad de su API web, le recomiendo que siga las pautas establecidas por Dominick Baier. Puede que no haya un mejor experto en gestión de identidades ASP.NET en el mundo.
Puede encontrar su blog en http://leastprivilege.com/ y un gran paquete de identidad API Web en Nuget, Thinktecture.IdentityModel - http://nuget.org/packages/Thinktecture.IdentityModel Al igual que con la mayoría de las buenas librerías de código abierto, ya que toda la funcionalidad está disponible para su para libre, no hay No hay necesidad de reinventar la rueda.
Esta es una biblioteca de control de acceso & de arriba a abajo para .NET 4.0/WIF y .NET 4.5 (incluido el soporte para MVC y Web API).
Si desea obtener más información sobre la seguridad de su Web API, también se debe ver este video http://vimeo.com/43603474 - charla de Dominick del NDC Oslo 2012.
5
Preguntas como éstas son muy 'abierto', todo depende de los requisitos de tu proyecto Si desea seguridad, debe considerar una combinación de diferentes medidas de seguridad.
Tome HTTPS combinado con Multi-factor authentication. Un ejemplo sería la Autenticación de certificado de cliente (la clave privada almacenada en un dongle) y la Autenticación básica (nombre de usuario/contraseña). Esto garantiza que, incluso si una persona malintencionada obtiene un nombre de usuario y contraseña, no podrá acceder a la aplicación sin el dongle de hardware. Y al revés también es cierto, incluso si el token de hardware es robado, será inútil sin saber el nombre de usuario y la contraseña.
Estas podrían ser algunas buenas entradas de blog para empezar:
E incluso si esto se aplica a la web en general, se debe leer the OWASP Top 10 for .NET developers antes de continuar con Algo más.
Cuestiones relacionadas
- 1. Autenticación y Autenticación API Web ASP.NET
- 2. autenticación con ASP.NET Web API
- 3. Autenticación de la API web de ASP.NET
- 4. Almacenamiento de contraseñas para API externas: mejor práctica
- 5. ASP.NET Web API Questions - Autorización/Autenticación
- 6. La mejor manera de manejar la autenticación en .NET WCF Web API
- 7. Autenticación API web ASP.NET MVC 4 con proveedor de membresía
- 8. Patrón de diseño de cliente de servicio web (mejor práctica)
- 9. Uso de la autenticación de formularios con la API web
- 10. ¿Cuál es la mejor práctica para C++ Public API?
- 11. Cuál es la mejor manera de tener Autenticación para un servicio web
- 12. Mejor práctica de clase
- 13. Autenticación con una API REST
- 14. Métodos anidados, mejor práctica
- 15. Mejor práctica de dependencia circular
- 16. Web Services API Versioning
- 17. Mejor práctica: colocar la carga en SQL o servidor web?
- 18. Mejor Práctica: SQL Acceso Directo vs servicio web
- 19. API REST Autenticación MongoDB
- 20. Sinatra - API - Autenticación
- 21. de autenticación de API REST
- 22. Autenticación API en rieles 3
- 23. Release Management: mejor práctica
- 24. Mejor práctica del comparador
- 25. WSDL - sin entrada - mejor práctica
- 26. Autenticación razonable del servicio web
- 27. cmake mejor práctica
- 28. ¿Cuál es la mejor API de búsqueda de imágenes web?
- 29. Autenticación de Google Data API
- 30. kwargs mejor práctica de análisis