मैं Azure पर एक एमवीसी 4 वेब एपीआई प्रोजेक्ट होस्ट करना चाहता हूं। मुझे यह सुनिश्चित करने की ज़रूरत है कि किसी भी तृतीय-पक्ष ऐप और किसी भी ब्राउज़र से API को एक्सेस किया जा सके। एक रीस्टफुल एपीआई को कार्यान्वित करना जो जेएसओएन को मेरे लिए एक अच्छा विचार पसंद करता है। अब, मेरे लिए सबसे बड़ी चुनौती एक मंच-अज्ञेय प्रमाणीकरण तंत्र बना रही है। मैं डिफ़ॉल्ट सदस्यता प्रदाता का उपयोग नहीं करना चाहता हूं। मैं एसएसएल का उपयोग करूँगा। मैं फॉर्म प्रमाणीकरण का भी उपयोग नहीं करूंगा। सभी एपीआई कॉल JQuery/AJAX के माध्यम से होने जा रहे हैं।ग्राहक पक्ष पर संग्रहीत प्रमाणीकरण टोकन कहां है?
मैं टोकन-आधारित प्रमाणीकरण को समझने की कोशिश कर रहा हूं। यहां मैंने सोचा था कि मैं क्या कर सकता था: - ग्राहक एचटीटीपीएस पर सर्वर पर अपने उपयोगकर्ता प्रमाण-पत्र भेजता है - सर्वर क्लाइंट को प्रमाणीकृत करता है, एक टोकन बनाता है, इसे दिनांक-समय टिकट और समाप्ति अवधि के साथ डीबी में सहेजता है, और भेजता है क्लाइंट पर वापस - क्लाइंट प्रत्येक बार एपीआई
तक पहुंचने के लिए सर्वर पर टोकन भेजता है, अब मुझे समझ में नहीं आता है कि क्लाइंट टोकन स्टोर करता है? क्या यह एक कुकी में सहेजा गया है? यदि हां, तो गैर-ब्राउज़र तृतीय पक्ष ऐप्स प्रमाणीकरण टोकन को कहां से सुरक्षित करते हैं? टोकन चोरी कितनी आसानी से है?