asp.net-mvc – 我应该如何保护我的SPA和Web.API？

>您的身份验证方法和方式完全取决于您的子系统.没有一种方法可以最好地适用于每个人. SPA与任何其他应用程序没有什么不同.您仍将基于身份验证授予对某些资源的访问权限.这可能是API,具有自定义Authorization属性,可以是标头值,基于令牌,谁知道！无论你认为什么是最好的.
>我建议你阅读更多相关内容,了解其工作原理.
>使用cookies绝不表示它会破坏REST.你会发现很多关于这个特定项目的文章. Cookie将根据您的请求传递,只需传递服务器所需的任何特定信息,以便为您提供数据.如果发送cookie会破坏REST,那么向API发送参数也会破坏REST！
>现在,一种非常常见的方法(绝不是ONE AND ALL方法)是使用基于令牌的SPA系统.原因虽然很多,但最容易解释的是,您的服务(Web API或其他)可以单独托管,而您的客户端也可以作为CORS客户端使用.在这种情况下,您以您选择的任何形式进行身份验证,创建安全令牌并将其发送回客户端,并根据令牌检查需要经过身份验证的用户的每个资源.每次请求时,令牌都将作为标题的一部分发送.没有令牌会导致简单的401(未授权)或无效令牌可能导致403(禁止).

没有人说SPA需要全部是静态HTML,有数据绑定,它也可能是你的MVC网站返回部分被加载(我过去做过的事情).至于使用HTML和JS(特别是Durandal),有一些方法可以保护客户端应用程序.最终,锁定服务器上的数据,并在收到401/403时将客户端路由到登录屏幕.

如果您更关注XSS或请求伪造,那么即使只使用HTML和JS,也有办法防止这种情况(尽管不像使用MVC删除防伪标记那么容易).

我的两分钱.