asp.net – 是否可以使用OAuth2来保护“非休息”应用程序

发布时间：2020-12-16 04:23:03 所属栏目：asp.Net 来源：网络整理

导读：我们有一个用ASP.NET MVC编写的应用程序,它包含Web(非休息,使用razor)和API项目(以及其他一些项目,但现在除此之外). Web中的身份验证使用基本表单身份验证完成,API中的身份验证使用OAuth2完成. 事实证明,在同一个应用程序中使用两种身份验证方法有点难以维护

我们有一个用ASP.NET MVC编写的应用程序,它包含Web(非休息,使用razor)和API项目(以及其他一些项目,但现在除此之外).

Web中的身份验证使用基本表单身份验证完成,API中的身份验证使用OAuth2完成.

事实证明,在同一个应用程序中使用两种身份验证方法有点难以维护,因此我们决定放弃表单身份验证并对Web和API项目使用OAuth2.

在Web项目中,我们可能必须在cookie中存储OAuth2令牌,而不是将它们作为标头发送.是否可以使用OAuth2来保护“非休息”应用程序？如果是这样,这样做会有一些安全问题吗？

解决方法

有一些关于你感兴趣的主题的优秀文章.这些文章解释了您正在寻找的细节.

> Tokens and Cookies.
> The Ultimate Guide to Mobile API Security
> The Most Common OAuth2 Vulnerability
> Using OAuth 2.0 with the SOAP API
> Using OAuth2 with SOAP
> ASP.NET WebForms OAuth2 multi-tenant resource and WPF client

这些网站将成为起点. OAuth 2.0受到了很多批评,但每个人都指出的安全漏洞在其他身份验证模型中也很常见.因此,如果应用程序中解决了这些漏洞,那么安全问题将会自行缓解.

> OAuth 2.0 Threat Model and Security Considerations
> Common OAuth2 Vulnerabilities and Mitigation Techniques
> SaferWeb: OAuth2.a or Let’s Just Fix It

但也必须指出,OAuth2不是下一代OAuth1.你可以找到一篇优秀的文章here.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!