个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
27
4
我将为第三方供应商构建的 iPhone 应用程序编写服务。
我将使用 ASP.NET MVC 来接受帖子并返回 JSON 格式的数据。
我的问题是,你如何保护它?
也许只是使用 API key ?这是否足以确保只允许来自 iPhone 应用程序的数据访问指定服务?
最佳答案
我自己也在为同样的概念而苦苦挣扎。我认为第一件事是只做 HTTPS,这样一开始它比不做更安全。
接下来,这取决于您将如何进行身份验证。如果您只需要一个 API key (以跟踪哪个实体正在访问数据)应该没问题。如果您还想跟踪用户信息,则需要某种方法来关联特定 API key 可以访问特定类型的记录,基于某处的连接。
我正在考虑在我的应用程序上进行表单例份验证,并使用身份验证 cookie。幸运的是,IIS 上的 ASP.NET 可以为您完成很多繁重的工作。
示例时间:(我确定我需要为此添加更多内容,但是当我在工作时,它会提供一些东西来啃)
表单验证:
在表单正文中发送一对(或更多)字段。这是一个彻头彻尾的 POST。没有多少不可逆的散列可以保证这一点。为了保护它,您必须始终处于防火墙后面,避免所有入侵者的眼睛(是的,正确),或者您必须通过 HTTPS。很简单。
基本认证:
通过线路发送一个 base64 编码的“用户名:密码”字符串作为 header 的一部分。请注意,base64 用于固定,就像纱门固定在潜艇上一样。您不希望它不安全。 HTTPS 是必需的。
API key :
这表示应用程序应该是 XYZ。这应该是私有(private)的。这与用户无关。最好是在请求 API key 时,与 API 授予者共享一个公钥,允许在传输时对 API key 进行编码,从而确保它保持私有(private)但仍能证明其来源。这可能会变得复杂,但是因为有一个应用程序进程并且因为它不会从供应商那里改变,所以这可以通过 HTTP 完成。这并不意味着每个用户,这意味着每个正在使用您的 api 的开发公司。
所以你想要发生的是,对于访问你的数据的应用程序,你想确保它是一个授权的应用程序,你可以使用私钥进行协商,以便在运行时进行签名。这可确保您正在与要与之交谈的应用程序交谈。但请记住,这并不意味着用户就是他们所说的那样。
然而。
您可以做的是,您可以使用 API key 和相关的公钥/私钥对用户名和密码信息进行编码,以便使用 HTTP 通过网络发送它们。这与 HTTPS 的工作方式非常相似,但您只是加密了消息的敏感部分。
但是要让用户跟踪他们的信息,您将不得不根据用户的登录名分配一个 token 。所以让他们登录,使用适当的系统通过网络发送数据,然后将代表用户的一些唯一标识符返回给应用程序。然后让应用程序在您每次执行用户特定任务时发送该信息。 (通常一直)。
通过网络发送它的方式是告诉客户端设置一个 cookie,我见过的所有 httpClient 实现都知道,当它们向服务器发出请求时,它们会发回服务器设置的所有 cookie仍然有效。它只是发生在你身上。因此,您在服务器上的响应中设置了一个 cookie,其中包含您与客户端通信所需的任何信息。
HTH,问我更多问题,以便我们进一步完善。
关于asp.net-mvc - 使用 MVC 为 iPhone 应用程序构建 RESTful API - 如何保护它?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6035296/
27
4
0
我有一个我想暂时存储的对象。该对象现在在 Controller 中, Controller 将生成一个 View 。 AJAX 请求从 View 发送到下一个 Controller 。那一刻我需要先前
从MVC 2开始,我们可以轻松创建区域。现在,我的问题与嵌套区域(区域内部的区域)有关。 选择我的“father”区域文件夹,右键单击> Add> NO选项以获取new Area。 是否有可能以其他方
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 7年前关闭。 Improve thi
我已经尝试了一些谷歌搜索和堆栈流搜索,但事实证明这比我想象的要难找到。我需要为我们的商店迁移到 ASP.NET MVC 2 的管理提供理由。最大的帮助将是任何企业级站点或使用 ASP.NET MVC
关闭。这个问题是opinion-based 。目前不接受答案。 想要改进这个问题吗?更新问题,以便 editing this post 可以用事实和引文来回答它。 . 已关闭 6 年前。 Improv
我有一些常见的网页,它们将出现在多个 MVC 应用程序中。对于这些页面,我想在不同的 MVC 网站之间重用相同的源代码( Controller + View )。这样做的最佳方法是什么? ASP.NE
我正在使用 Spring MVC 来构建我的应用程序。 当用户在浏览器中运行应用程序时,我想显示一个默认的 jsp。我不想用 web.xml 中的标记。 我想我可以用 我已经创建了一个文件夹并添
我可能在这里分析过度了,但是根据我对 MVC 的阅读,似乎有很多关于如何做事情的观点。 是否有一个“最佳实践”网站或文档来定义 MVC 各个部分的职责? 请记住,我使用 EF/Repository&U
当杰里米和查德 posted about their FubuMvc project ,他们提到的差异化因素之一是他们的“雷霆穹顶校长”: The “Thunderdome Principle” –
我正在为 Spring MVC 应用程序实现缓存清除系统。 为了让这个系统正常工作,我必须从给定的 url 中删除“缓存破坏代码”。假设我生成的缓存破坏代码是“123”,我有一个 .css url:/
在调试 ASP.NET MVC 源时,我发现使用了“MVC-ControllerTypeCache.xml” 文件。但我无法理解这个文件的用途。我的意思是这个文件存储在哪里?asp.net MVc 如
我刚刚在我的本地机器上安装了 Visual Studio 11 和 MVC 4 beta。但是,每当我打开一个 MVC 3 项目(我想保留为 MVC 3)时,所有引用都已更新为版本 4 DLL。当然它
我有一个 MVC 3 应用程序,它具有一些核心功能(最重要的是自动化),但主要用作不同区域或模块的门户。我想将它组织到不同的模块中,只需稍作更改也可以部署为他们自己的网站。 该项目由论坛、博客引擎、用
我有自己的服务器,正在考虑将我的一个解决方案升级到 ASP.NET MVC 4,然后再升级其余的 (3+)。 作为其中的一部分,我下载了 the standalone installer对于 ASP.
构图 我有一个 MVC 项目,其中包含 C# 类,这些类最终通过 ajax 等进行序列化和使用。我使用 TypeLite 生成这些 C# 类的定义( here 讨论了 TypeLite 的替代方案),
我正在尝试了解现代 Web 应用程序架构。在 ASP.NET MVC 中,所有业务逻辑类都在 Model 中,Controller 接受并引导用户请求。如果我使用它,是否可以使用本身是 MVC 架构但
我有一个带有 OWIN 的 WebAPI 2 应用程序。现在我正在尝试向所有内容添加一个 MVC 5 Controller ,但没有找到我的 MVC 路由。我收到以下错误: No HTTP resou
在 MVC 3 中,他们添加了我一直在使用的依赖解析器。在回答某人对您发表评论的问题时,您应该使用 Ninject MVC 3 插件。 所以我的问题是为什么要使用它而不是内置的?如果这是要走的路,你如
我是 ASP.NET MVC 的新手,我正在寻找最不痛苦的方法来设置全局错误处理、日志记录和报告(通过电子邮件)。仅供引用,我的 ASP.NET MVC 应用程序在 Azure 中作为 Web 角色托
何时使用 MVC View 页面和 MVC View 内容页面?它们有什么区别? 最佳答案 **MVC View Page 用于创建页面,MVC VewP Content Page 用于创建页面并指定
我是一名优秀的程序员,十分优秀!