我只是使用Attribute/Filter为每个WebAPI Action开发一种身份验证机制。我没有使用“BuiltIn”授权功能,因为我想使用我的存储过程和表结构。身份验证WebAPI
我要求WebAPI用户在每个请求中提供用户名和密码,作为请求标头的一部分。用户名和密码以清晰文本形式传输,但配置为仅通过HTTPS(SSL)工作的WebAPI。
我的安全顾问告诉我,即使通过HTTPS(SSL)将用户名和密码作为明文传输也不安全,并要求我加密证书。
这样做的简单方法是什么?他在Cookie上建议,但我不确定WebAPI客户端可以使用Cookie,因为WebAPI用户不仅仅是浏览器客户端,其中一些用途是服务器到服务器。
感谢
我明白了你的意思,谢谢。你能解释第一次如何加密凭证吗? – Omtechguy
当然,根据提供商的不同,您会提交您的凭证,并且授权服务器会为您返回令牌。如果您的身份验证服务器使用Google之类的内容,用户将提交您从未见过的Google凭据。如果您创建自己的支持验证服务器,用户将向您提交他们的凭据,您需要发出加密的令牌。无论如何,你应该返回一个加密版本的凭证。这破坏了整个点并创建了一个安全循环漏洞。 –