asp.net-mvc – 我应该如何保护我的SPA和Web.API?
我必须实现一个网站(MVC4 /单页应用程序淘汰Web.API),我一直在阅读大量的文章和论坛,但我仍然无法弄清楚安全/身份验证中的一些要点以及前进的方法在保护登录页面和Web.API时.
该网站将完全在SSL下运行.一旦用户第一次登录,他/她将收到一封电子邮件,其中包含确认注册过程的链接.密码和“salt”值将以加密方式存储在数据库中,不可能将密码解密回来. API将仅用于此应用程序. 我有一些问题需要在回答之前回答: >在安全性方面,哪种方法对我的应用程序最好:Basic / SimpleMembership?还有其他可能吗? 谢谢. 解决方法
很可能这个问题将因为过于本地化而被关闭.即便如此,我还会提出几点建议.这不是一个答案,但评论部分对此来说太小了.
>您的身份验证方法和方式完全取决于您的子系统.没有一种方法可以最好地适用于每个人. SPA与任何其他应用程序没有什么不同.您仍将基于身份验证授予对某些资源的访问权限.这可能是API,具有自定义Authorization属性,可以是标头值,基于令牌,谁知道!无论你认为什么是最好的. 没有人说SPA需要全部是静态HTML,有数据绑定,它也可能是你的MVC网站返回部分被加载(我过去做过的事情).至于使用HTML和JS(特别是Durandal),有一些方法可以保护客户端应用程序.最终,锁定服务器上的数据,并在收到401/403时将客户端路由到登录屏幕. 如果您更关注XSS或请求伪造,那么即使只使用HTML和JS,也有办法防止这种情况(尽管不像使用MVC删除防伪标记那么容易). 我的两分钱. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- asp.net-mvc – 使用AD的ASP.NET MVC表单Auth在本
- asp.net-core – 如何使.NET Core类库从.NET 4.6
- 如何决定哪个是正确的,WebForms或MVC做ASP.NET时
- Azure 上部署 ASP.NET Core Web App
- asp.net – 为什么Request.IsSecureConnection返
- 如何在ASP.NET应用程序中有效地缩放和裁剪图像?
- ASP.NET ReportViewer Google Chrome CPU使用情况
- asp.net-mvc – MVC ajax json post到控制器动作
- asp.net-mvc – 如何将名为“file []”的已发布数
- 重命名控制器asp.net mvc