对站点/应用程序进行身份验证以访问Web API服务
简短的问题: 我在.NET中有一个Web API服务,而一个站点仅由HTML和AngularJS组成。
如何仅对我的网站授权给我的服务?
我正在寻找一个似乎很常见但不是常见问题的安全答案。在最近的日子里,我读了很多答案,想法和各种各样的东西,但是找不到解决方案。
假设我有一个来自MS的Web Api服务(最新的)。所以我必须要消耗它的应用程序。让我们定义两个方案。
方案1:
在同一个IIS中,我有一个ASP.NET MVC
3/4,其特殊之处在于所有MVC工作都在客户端(由AngularJS进行),因此该应用程序直接从JavaScript指向Web Api服务。
方案2:
我有一个直接指向Web Api服务的第三方应用程序,它位于其他网络/站点/任何与之相关的地方。
所以,我的问题是:
如何对两个系统进行身份验证,以便Web Api
Service可以访问两个系统(我不在乎是否相同),并且不向例如具有REST客户端的人提供访问权限并登录到具有用户/通行证授权的网站?我希望这两个示例都能使我对我感兴趣的观点有所了解。
请在下方评论您需要以更好的方式改进此问题的任何内容!
顺便说一句,不能,不能使用混淆。我以为是一种令人耳目一新的令牌,但我不知道。
问题答案:
在您的 方案1中, 我将如何设置身份验证:
我将强制静态文件通过服务器以确保身份验证
Web.config
<compilation>
<buildProviders>
<add extension=".html" type="System.Web.Compilation.PageBuildProvider" />
<add extension=".htm" type="System.Web.Compilation.PageBuildProvider" />
</buildProviders>
</compilation>
<system.webServer>
<handlers>
<add name="HTML" path="*.html" verb="GET, HEAD, POST, DEBUG" type="System.Web.UI.PageHandlerFactory" resourceType="Unspecified" requireAccess="Script" />
<add name="HTM" path="*.htm" verb="GET, HEAD, POST, DEBUG" type="System.Web.UI.PageHandlerFactory" resourceType="Unspecified" requireAccess="Script" />
</handlers>
</system.webServer>
这将允许我设置<authentication>和<authorization>在我的web.config这样的:
<authorization>
<allow roles="demo" />
</authorization>
要么
<authorization>
<deny users="?" />
</authorization>
另外,我将设置我的登录页面:
<authentication mode="Forms">
<forms path="/" loginUrl="~/login"..
对于 方案2 :
如果是这种情况,您可能需要启用CORS:
config.EnableCors();在您的Register方法中设置config选项;您还需要通过使用 [EnableCors]
属性以及控制器的声明在ApiController中启用CORS ,这是我的操作示例:
[EnableCors(origins: "http://localhost:49595", headers: "*", methods: "*")]
public class ValuesController : ApiController
{
...
最后,为了保护WebApi,我们将需要[Authorize]在控制器中使用属性,并且很可能需要定义自定义身份验证方法来授权第二个调用方。
-
我已经设置了一个广告2016安装。现在打算使用它对web应用程序(java)进行身份验证。我有一段用于测试身份验证的代码,并有一些观察。 现在我在以下场景中测试了用户/密码组合- //第一个组合,user1存在于AD中并且密码正确(测试经过身份验证的绑定)。字符串userid=“user1@domain.com”,password=“user1password”;预期:身份验证成功。实际:身份验证
-
问题内容: 我一直在研究一个简单的API示例,即带有身份验证的ServiceStack Hello World示例的修改版本。概念验证的目的是创建一个RESTful API,该API包含要求身份验证的服务,这些服务完全可以通过Ajax从多个不同的Web项目访问。 我已经阅读了有关Wiki的认证和授权以及实现CORS的实现,(很多,结果[抱歉,没有足够的信誉指向相关链接])。此时,我的Hello服务
-
有什么主意吗?
-
我如何以编程方式验证Google?既然ClientLogin(https://developers.Google.com/accounts/docs/authforinstalledApps)已被否决,那么我们如何使用OAuth2对Google执行编程身份验证呢? 使用ClientLogin,我们可以使用电子邮件和密码参数执行到https://www.google.com/accounts/Cli
-
GoogleCredential凭证=newGoogleCredential.Builder(). setTransfer(TRANSPORT). setJsonFactory(JSON_FACTORY). setServiceAccount tId("SOMETHING@developer.gserviceaccount.com"). setServiceAccount tScopes(Bigq
-
我的webapp是用。NET核心并部署在Azure中。我已启用Azure应用程序服务身份验证,并将其配置为使用Azure Active Directory。当我访问webapp时,我确实会被重定向到正确的登录页面。登录后,我可以浏览到endpoint。对我进行身份验证,并查看是否存在针对我的用户的声明。我还可以验证下面的请求标头是否存在值: X-MS-TOKEN-AAD-ID-TOKEN X-MS