ASP.NET Web Api (REST) : Authentication using the users credentials or a token? 保留 "Register new user"资源密码吗？

Question

我正在尝试使用 asp.net Web api 创建 REST 服务，一切工作正常，但我现在遇到了如何进行身份验证。

我有点困惑从哪里开始，这就是我一直在想的。

我有一个由许多资源组成的 REST api，每个资源都需要用户注册，那么执行此操作的最佳操作是什么？我是否应该在每次调用服务时在 header 中发送用户名和密码，以便我可以使用在服务器上进行身份验证

AuthorizationFilterAttribute

我至少应该加密它？我有兴趣知道其他人在做什么，我知道有一个创建 token 的概念(我认为它是短暂的)，因此用户将进行身份验证，然后会收到一个 token ，然后该 token 将被发送进一步调用该服务。那么当token过期时我该如何处理呢？

我还有一个用于注册新用户的资源，实际上唯一调用此资源的是我的客户端(Android、iPhone)。那么我是否应该让它不包含任何身份验证方法，或者设置硬编码密码或类似的内容，以便至少没有其他人可以注册新用户？请记住，该服务将在互联网上公开。

我似乎无法找到正确的方法来做到这一点，我当然想尝试第一次就做对，这样我就不必完全重构服务。

Answer 1

以下链接似乎涵盖了一些明智的 DIY 选项 http://codebetter.com/johnvpetersen/2012/04/02/making-your-asp-net-web-apis-secure/ 。 “基于公钥/私钥的 token ”部分涵盖了我过去有效使用的一种方法，也许会对您有所帮助。

目前虽然我正在使用 http://identityserver.codeplex.com/带有 OAuth 持有者 token (“资源所有者密码凭证”授予类型)的 Thinktecture IdentityServer...我发现这是一组非常好的代码和示例，可以让 IOS 客户端获取 token 并调用 WebApi。

如果您确实必须保护您的注册屏幕，您可以使用设备上安装的客户端证书进行身份验证...Thinktecture 服务再次可以在这里提供帮助 https://identity.thinktecture.com/idsrv/docs/default.htm?RequestingatokenusingOAuth2.html 。尽管如果您的注册过程是安全的What are best practices for activation/registration/password-reset links in emails with nonce例如电子邮件确认和激活等。公开访问可能是安全的 - 这一切都取决于您的业务需求和所需的注册工作流程。

您至少应该使用传输级别安全性 SSL，但正如您建议的消息级别安全性，例如加密任何 token 是非常明智的 - OAuth 规范对此有话要说 http://self-issued.info/docs/draft-ietf-oauth-v2-bearer.html#mitigation .

关于过期 token - 我们倾向于以与密码更改政策相同的频率使 token 过期；尽管保持有效时间较短很重要(以最大限度地减少 token 盗窃的影响)，并且需要考虑平衡您的要求。 OAuth有刷新 token 的概念Why Does OAuth v2 Have Both Access and Refresh Tokens?这里有一些围绕这个主题的争论和链接，我们目前没有使用这种方法，因为我们使用的 ID 服务器目前不支持这种方法。

保证您的代币安全也是一个考虑因素，例如我们在 IOS 中使用 KeyChain，但如果可能的话，还要考虑移动设备管理策略，就好像这些 token 或密码是可能被盗的设备之一，或许可以考虑越狱检测、锁屏强制执行等。