asp.net - Web api 身份验证架构

Question

我正在实现一个休息 api 以使用新的 web api 框架。这个 api 将被其他公司使用，所以我们将添加一个身份验证方法。

关于身份验证，我正在考虑实现基于 token 的东西。像这样的东西

客户端提供登录方法的凭据

系统验证客户端并发送 token

客户端在以下 api 调用中使用此 token

我想知道这个模式是否对我的场景有用。操作将主要是原子的，基本上客户端会定期 ping 这个 api 来获取一些特定的数据，所以不确定拥有 session token 是否有意义(在某些时候 token 应该过期并且不确定如何管理它)。

您建议如何为此场景实现身份验证模式？

Answer 1

制作这样的基于 token 的身份验证方案并不容易。

对于如何以一种良好且安全的方式实现它，我真的没有答案。但是会提供一些关于您必须处理的问题的想法:

token 生成需要很好地随机化并且 token 需要“足够”(对于足够的某些定义)长，以防止某人简单地发送一堆不同的 token 来查看他是否“成功”

上述问题实现起来应该不会太难。但更棘手的事情是:

您如何可靠地验证 token 没有被“绑架”。

如果 token 只是一些随机字符串，那么在传输(使用 SSL)中碰巧“看到”它的任何人都将能够假设生成 token 的用途的身份。

当您的服务收到 token 时，您会知道:

您的应用程序将 token 颁发给用户/应用程序/实体 X

token 完好(未更改)

您使用 token 存储的任何其他内容(是否已过期等)

但它不会不加努力地让您确定它是由用户/应用程序/实体 X 发送的。它 可以 成为设法获得 token 的 Y。

当然，许多身份验证方案都是这种情况，因此取决于您的数据的敏感程度，以及可以通过您的服务完成的操作类型，这对您来说可能不是一个大问题。