1. घर
  2. सवाल और जवाब
  3. रीस्टफुल सेवा से सुरक्षित टोकन कैसे भेजें?

रीस्टफुल सेवा से सुरक्षित टोकन कैसे भेजें?

2012-09-26 17 views
6

मैं कस्टम टोकन आधारित प्रमाणीकरण के साथ एएसपी.NET वेब एपीआई का उपयोग कर एक विश्वसनीय सेवा बना रहा हूं। ग्राहक पहली कॉल पर प्रमाण पत्र भेज देगा। सेवा उपयोगकर्ता विवरण का उपयोग करके एक एन्क्रिप्टेड टोकन तैयार करेगी और इस टोकन का उपयोग इस बिंदु से प्रमाणीकरण के लिए किया जाएगा। अब सेवा को इस टोकन को क्लाइंट को वापस भेजने की जरूरत है। प्रारंभ में मैंने टोकन को एक HTTP कस्टम प्रतिक्रिया शीर्षलेख में रखा ताकि ग्राहक सेवा द्वारा लौटाए गए डेटा से स्वतंत्र मूल्य को पढ़ सके। यह अच्छी तरह से काम करता है जब ग्राहक और सेवा एक ही डोमेन में हैं, लेकिन क्रॉस डोमेन परिदृश्य में विफल रही हैं। मेरे पास सीओआरएस ने मेरी सेवा को सक्षम किया है और "एक्सेस-कंट्रोल-एक्सपोज़-हेडर", "एक्सेस-कंट्रोल-ऑब्जेक्ट-ऑरिजन: *" इत्यादि जैसे सभी प्रकार के हेडर जोड़े हैं लेकिन क्रॉस डोमेन क्लाइंट कस्टम प्रतिक्रिया हेडर पढ़ने में सक्षम नहीं है मैंने बनाया है जो "सिक्योरोकन:" है। मैंने कुछ पोस्टों में देखा है कि वेब ब्राउज़र में क्रॉस डोमेन परिदृश्य में कस्टम प्रतिक्रिया शीर्षलेख पढ़ने के साथ कुछ समस्याएं हैं। तो अब मैं सेवा से भेजे गए सभी व्यू मॉडेल/डेटा ऑब्जेक्ट्स के एक सामान्य बेस क्लास के माध्यम से सुरक्षित टोकन भेजने की सोच रहा हूं।रीस्टफुल सेवा से सुरक्षित टोकन कैसे भेजें?

  1. क्या सबसे अच्छी जगह कस्टम सुरक्षित टोकन भेजने के लिए है:

    इस संदर्भ से मैं सवालों की जोड़ी है। क्या यह प्रतिक्रिया शीर्षलेख में है या ViewModel/डेटा कक्षाओं के मूल वर्ग में एक आम संपत्ति के रूप में है?

  2. क्या कोई मानक HTTP प्रतिक्रिया शीर्षलेख है जिसका उपयोग मैं टोकन और कस्टम जानकारी भेजने के लिए कर सकता हूं ताकि डोमेन क्लाइंट भी पार कर सकें?

किसी भी मदद की सराहना की जाएगी! धन्यवाद!

स्रोत

2012-09-26 Whizkid747

+0

हाय tpeczek - इस प्रश्न को देखने के लिए समय लेने के लिए धन्यवाद। मैंने पहले इस लेख को देखा: http: //codebetter.com/johnvpetersen/2012/04/02/making-your-asp-net-web-apis-secure/। Ive पहले से ही टोकन आधारित प्रमाणीकरण लागू किया है जो निजी कुंजी एन्क्रिप्शन का उपयोग कर रहा है। सवाल यह है कि उपयोगकर्ता को लॉग आउट किए बिना अपडेट किए गए टोकन को भेजना (जब सत्र का समय अपडेट हो जाता है, नया टोकन जेनरेट किया जाता है)। एक विशिष्ट प्रतिक्रिया शीर्षलेख सबसे अच्छा विकल्प था, लेकिन दुर्भाग्यवश क्रॉस डोमेन क्लाइंट गैर मानक प्रतिक्रिया शीर्षलेख पढ़ नहीं सकते – Whizkid747

उत्तर

2

Authorization हेडर इसका उद्देश्य है। इसका उपयोग कैसे करें इसके विवरण के लिए इस लिंक में section 14.8 देखें।

स्रोत

2012-09-26 16:51:31 basiljames

+1

प्रमाणीकरण अनुरोध हेडर नहीं है? मैं एचटीपी "प्रतिक्रिया" हेडर के बारे में पूछ रहा था। – Whizkid747

+1

प्राधिकरण अनुरोध और प्रतिक्रिया दोनों के लिए एक वैध शीर्षलेख है। टोकन लौटने के लिए आप निश्चित रूप से प्राधिकरण शीर्षलेख का उपयोग कर सकते हैं –

संबंधित मुद्दे

 संबंधित मुद्दे