वेब एपीआई प्रमाणीकरण सर्वोत्तम अभ्यास

Question

वेब एपीआई के लिए सबसे अच्छा प्रमाणीकरण दृष्टिकोण कौन सा है, यह देखते हुए कि डेटा सुरक्षा आवश्यक है और एएसपी.NET एप्लिकेशन Azure पर चलता है?

Answer 1

प्रमाणीकरण से निपटने और अपने वेब एपीआई को सुरक्षित करते समय मैं आपको डोमिनिक बायर द्वारा निर्धारित दिशानिर्देशों का पालन करने की सलाह देता हूं। दुनिया में एएसपी.नेट पहचान प्रबंधन पर कोई बेहतर विशेषज्ञ नहीं हो सकता है।

आप http://leastprivilege.com/ पर अपने ब्लॉग और Nuget में एक महान वेब एपीआई पहचान पैकेज, Thinktecture.IdentityModel पा सकते हैं -, http://nuget.org/packages/Thinktecture.IdentityModel अच्छा खुले स्रोत संग्रहालय से अधिकांश के साथ के रूप में के बाद से सभी कार्यक्षमता के लिए अपने मुक्त करने के लिए, वहाँ है उपलब्ध है पहिया को फिर से शुरू करने की कोई ज़रूरत नहीं है।

यह शीर्ष-से-नीचे पहचान & .NET 4.0/WIF और .NET 4.5 (एमवीसी और वेब एपीआई के लिए समर्थन सहित) के लिए एक्सेस कंट्रोल लाइब्रेरी है।

आप अपने वेब एपीआई हासिल करने के बारे में अधिक जानना चाहते हैं, तो आप भी इस वीडियो को http://vimeo.com/43603474 देखना चाहिए - से एनडीसी ओस्लो 2012

Answer 2

इस तरह के सवालों डोमिनिक की बात बहुत 'खुला' हैं, यह सभी आवश्यकताओं पर निर्भर करता है आपकी परियोजना का अगर आप सुरक्षा चाहते हैं, तो आपको विभिन्न सुरक्षा उपायों के संयोजन पर विचार करना चाहिए।

Multi-factor authentication के साथ संयुक्त HTTPS लें। एक उदाहरण क्लाइंट प्रमाणपत्र प्रमाणीकरण (एक डोंगल पर संग्रहीत निजी कुंजी) और मूल प्रमाणीकरण (उपयोगकर्ता नाम/पासवर्ड) होगा। यह आपको सुनिश्चित करता है कि, यदि कोई दुर्भावनापूर्ण व्यक्ति उपयोगकर्ता नाम और पासवर्ड पर पकड़ लेता है, तो वह हार्डवेयर डोंगल के बिना एप्लिकेशन तक पहुंच नहीं पाएगा। और दूसरी तरफ भी सच है, भले ही हार्डवेयर टोकन चोरी हो जाए, फिर भी उपयोगकर्ता नाम और पासवर्ड जानने के बिना बेकार होगा।

ये कुछ अच्छे ब्लॉग पोस्ट आप आरंभ करने के लिए हो सकता है:

• Making your ASP.NET Web API’s secure
• Securing ASP.NET WebAPI using Client Certificates

और अगर यह सामान्य रूप में वेब पर लागू होता है, आप के साथ आगे बढ़ने से पहले the OWASP Top 10 for .NET developers पढ़ना चाहिए और कुछ।