asp.net-mvc – 使用MVC为iPhone应用构建RESTful API – 如何保

接下来,这取决于您将如何进行身份验证.如果您只需要一个API密钥,(以跟踪访问数据的实体)应该没问题.如果您还想跟踪用户信息,则需要一些方法来关联特定API密钥可以根据某处的连接访问特定类型的记录.

我正在寻找在我的应用上进行表单身份验证,并使用身份验证cookie.幸运的是,IIS上的ASP.NET可以为您做很多繁重的工作.

示例时间:(我确定我需要为此添加更多内容,但是当我在工作时它会提供一些东西可以啃)

表格认证：
在表单正文中发送一对(或多个)字段.这是POST贯穿始终.没有多少不可逆的散列可以使这种安全.为了保护它,您必须始终在所有入侵眼睛的防火墙后面(是的)或者您必须通过HTTPS.很简单.

基本认证：
作为标题的一部分,通过线路发送base64编码的“用户名：密码”字符串.请注意,base64是为了安全,因为屏幕门是潜艇.你不希望它是不安全的. HTTPS是必需的.

API密钥：
这说应用程序应该是XYZ.这应该是私人的.这与用户无关.优选地,在请求API密钥时,与API授权者共享公钥,允许API密钥在传输时被编码,从而确保它保持私有但仍然证明源是谁.这可能会变得复杂,但由于存在应用程序进程,并且因为它不会从供应商更改,因此可以通过HTTP完成.这并不意味着每个用户,这意味着每个开发公司 – 使用你的api.

所以你想要发生的是,对于访问你的数据的应用程序,你想确保它是一个授权的应用程序,你可以使用私钥进行协商,以便在运行时进行签名.这可以确保您正在与要与之交谈的应用进行通话.但请记住,这并不意味着用户就是他们所说的人.

然而.

你可以做的是你可以使用API??密钥和相关的公钥/私钥来编码用户名和密码信息,以便使用HTTP通过网络发送它们.这与HTTPS的工作原理非常相似,但您只是在加密消息的敏感部分.

但是为了让用户跟踪他们的信息,您将不得不根据用户的登录分配令牌.因此,让他们登录,使用适当的系统通过网络发送数据,然后返回一些代表用户的唯一标识符返回给应用程序.然后让应用程序在您每次执行用户特定任务时发送该信息. (通常一直).

你通过网络发送它的方式是告诉客户端设置一个cookie,我见过的所有httpClient实现都知道当他们向服务器发出请求时,他们会发回服务器设置的所有cookie.仍然有效.它恰好发生在你身上.因此,您在服务器上的响应上设置一个cookie,其中包含与客户端通信所需的任何信息.

HTH,问我更多问题,以便我们进一步完善.