में प्रमाणीकरण और भूमिका आधारित प्राधिकरण को कार्यान्वित करना मुझे अपने वेब एपीआई (सेवा) - एमवीसी (क्लाइंट) आर्किटेक्चर के लिए प्रमाणीकरण/प्राधिकरण परिदृश्य को लागू करते समय एक दृष्टिकोण का निर्णय लेने में कठिन समय है परियोजना। भले ही मैंने वेब एपीआई प्रोजेक्ट में कस्टम टोकन आधारित प्रमाणीकरण लागू किया है, मुझे यह मुश्किल लगता है जहां मुझे प्राधिकरण को लागू करना चाहिए (क्लाइंट या एपीआई में ही)।एएसपी.नेट एमवीसी वेब एपीआई सेवा और एमवीसी क्लाइंट आर्किटेक्चर
वास्तुकला अवलोकन:
- परियोजनाओं समाधान -
|
| __ एएसपी.नेट वेब एपीआई आधारित आरईएसटी सेवा (स्वतंत्र रूप से एमआईएस 1 पर आईआईएस पर होस्ट किया गया)
|
| __ एएसपी.नेट एमवीसी आधारित ग्राहक (एमआईएस पर एमआईएस पर स्वतंत्र रूप से होस्ट किया गया आरईएसटी सेवा उपभोग)
|
| __ स्मार्ट फोन ग्राहक आवेदन (बाकी सेवा उपभोक्ता)
पहले से ही लागू किया प्रमाणीकरण: वेब एपीआई (संदेश हैंडलर का उपयोग) में
टोकन आधारित प्रमाणीकरण - कौन प्रमाणित उपयोगकर्ता के लिए SHA1 encripted टोकन जनरेट जिसे प्रमाणीकरण के लिए प्रत्येक http अनुरोध शीर्षलेख का हिस्सा होना आवश्यक है।
(टोकन = उपयोगकर्ता नाम + उपयोगकर्ता आईपी)एसएसएल सुरक्षित HTTP अनुरोध। (फिर से, संदेश हैंडलर का उपयोग करना)
वर्तमान समस्याओं:
- क्या परत में प्राधिकरण लागू किया जाना चाहिए?
- ग्राहक पर उपयोगकर्ता भूमिका को कैसे जारी रखा जाना चाहिए? कुकीज़ का उपयोग करना? या टोकन में भूमिका की जानकारी जोड़ना (जो एपीआई के लिए ओवरहेड जोड़ सकता है ताकि उस भूमिका से जुड़े अनुमतियों को पुनः प्राप्त करने के लिए जानकारी और अतिरिक्त डीबी कॉल को डिक्रिप्ट किया जा सके)
- क्लाइंट सत्र के साथ प्रमाणीकरण टोकन को कैसे रखा जाना चाहिए?
- चूंकि, मेरा आवेदन एसपीए एमवीसी एप्लीकेशन है, इसलिए एपीआई में किए गए प्रत्येक AJAX कॉल के हिस्से के रूप में प्रमाणीकरण टोकन को शामिल करने का सबसे अच्छा तरीका क्या है?
मुझे आशा है कि, मैं कोई बात बिगड़ नहीं कर रहा हूँ, जबकि ध्यान में पूरे प्रमाणीकरण/प्राधिकरण अवधारणा ले रही। इस प्रकार, मैं किसी भी वैकल्पिक दृष्टिकोण/सुझाव की सराहना करता हूं।
आपका प्रश्न क्या है? – Bizmarck
मुझे क्षमा करें, मैं वास्तव में इसे पूरा करने से पहले गलती से पोस्ट प्रश्न बटन दबाता हूं। – vabz