asp.net – 是否可以使用OAuth2来保护“非休息”应用程序
我们有一个用ASP.NET MVC编写的应用程序,它包含Web(非休息,使用razor)和API项目(以及其他一些项目,但现在除此之外).
Web中的身份验证使用基本表单身份验证完成,API中的身份验证使用OAuth2完成. 事实证明,在同一个应用程序中使用两种身份验证方法有点难以维护,因此我们决定放弃表单身份验证并对Web和API项目使用OAuth2. 在Web项目中,我们可能必须在cookie中存储OAuth2令牌,而不是将它们作为标头发送.是否可以使用OAuth2来保护“非休息”应用程序?如果是这样,这样做会有一些安全问题吗? 解决方法
有一些关于你感兴趣的主题的优秀文章.这些文章解释了您正在寻找的细节.
> Tokens and Cookies. 这些网站将成为起点. OAuth 2.0受到了很多批评,但每个人都指出的安全漏洞在其他身份验证模型中也很常见.因此,如果应用程序中解决了这些漏洞,那么安全问题将会自行缓解. > OAuth 2.0 Threat Model and Security Considerations 但也必须指出,OAuth2不是下一代OAuth1.你可以找到一篇优秀的文章here. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- asp.net – 错误:“填充:SelectCommand.Connection属性尚
- .net – 如何处理异常是由ObjectDatasource的Select方法引发
- 为什么在手动刷新响应时ASP.NET将使用Transfer-Encoding头替
- ASP.NET Core和Angular的RDLC本地报表查看器(> 2.0)
- 单元测试 – 如何对Asp.net核心WebAPI(net452)项目进行单元
- asp.net – 在int类型的Web服务参数上设置minOccurs =“0”
- asp.net – 绕过路径遍历过滤器
- asp.net-mvc – 如何在将控件传递给View后调试ASP.NET MVC
- asp-classic – <%%>和经典asp之间有什么区别?
- ASP.NET MVC4异步聊天室的示例代码
- asp.netcore 3.0 Docker Nginx(震惊,原来docker
- ASP.NET – 验证UserControl内部的控件
- asp.net-mvc – Orchard CMS:退出(注销)确认页面
- asp.net – 将url参数添加到asp主题文件夹中的cs
- ASP.NET 5中的全局异常处理
- asp.net-mvc – 从子页面选择MVC中母版页上的右侧
- asp.net – 当浏览器在HTTP Request标头中设置“
- asp.net core swagger使用及注意事项
- 在asp.net中<#eval和<#bind之间有什么区别?
- asp.net-mvc-4 – 如何为使用StatusCode 404抛出