Który z nich jest najlepszym podejściem do uwierzytelniania dla interfejsu Web API, biorąc pod uwagę, że bezpieczeństwo danych jest niezbędne, a aplikacja ASP.NET działa na platformie Azure?Najlepsze sprawdzanie autentyczności interfejsu API sieci Web
Jeśli chodzi o uwierzytelnianie i zabezpieczanie swojego interfejsu internetowego, zalecamy przestrzeganie wytycznych określonych przez Dominick Baier. Nie może być lepszego eksperta od zarządzania tożsamością ASP.NET na świecie.
można znaleźć jego blog na http://leastprivilege.com/ i wielki Web API pakiet tożsamość w Nuget, Thinktecture.IdentityModel - http://nuget.org/packages/Thinktecture.IdentityModel Podobnie jak większość dobrych bibliotek open source, ponieważ wszystkie funkcje są dostępne dla za darmo, nie ma nie trzeba wymyślać koła.
To jest od góry do dołu tożsamość & biblioteka kontroli dostępu dla .NET 4.0/WIF i .NET 4.5 (w tym obsługa MVC i Web API).
Jeśli chcesz dowiedzieć się więcej na temat zabezpieczania API Web, należy również obejrzeć ten film http://vimeo.com/43603474 - rozmowa Dominick jest z NDC Oslo 2012.
pytania takie jak te są bardzo „otwarty”, to wszystko zależy od wymagań twojego projektu. Jeśli chcesz mieć bezpieczeństwo, powinieneś rozważyć połączenie różnych środków bezpieczeństwa.
Weź HTTPS w połączeniu z Multi-factor authentication. Przykładem może być uwierzytelnianie za pomocą certyfikatu klienta (klucz prywatny przechowywany w kluczu sprzętowym) i uwierzytelnianie podstawowe (nazwa użytkownika/hasło). Zapewnia to, że nawet jeśli złośliwa osoba zatrzyma nazwę użytkownika i hasło, nie będzie mógł uzyskać dostępu do aplikacji bez klucza sprzętowego. I odwrotnie jest również prawdą, nawet jeśli token sprzętowy zostanie skradziony, będzie bezużyteczny bez znajomości nazwy użytkownika i hasła.
Mogą to być kilka dobrych blogach na początek:
I nawet jeśli dotyczy to sieci w ogóle, należy zapoznać the OWASP Top 10 for .NET developers przed kontynuowaniem coś jeszcze.