Cách bảo mật ứng dụng AngularJS và Web Api của tôi

Question

Tôi đang sử dụng AngularJS với máy chủ ASP.NET Web Api. Dường như với tôi như xác thực giờ đã trở nên dễ dàng? Hay điều này quá tốt là đúng?

Vì vậy, tôi đang nghĩ đến việc sử dụng xác thực "Tài khoản người dùng cá nhân" của Web Api. Và tôi nghĩ đó là tất cả những gì tôi cần. Miễn là mọi yêu cầu được xác thực và không ai có thể nhận được bất kỳ dữ liệu nào họ không nên không cần phải làm nhiều hơn nữa đúng không?

Hoặc tôi có thiếu một số nguyên tắc cơ bản về bảo mật quan trọng không?

Answer 1

Khi nói đến việc đảm bảo các API bạn có hai cách tiếp cận chính cách tiếp cận dựa

1. Cookie. Đây là cách truyền thống, nơi bạn sử dụng biểu mẫu chuẩn để xác thực người dùng và sau đó đặt cookie xác thực biểu mẫu. Tất cả các yêu cầu trái phép đưa người dùng đến trang đăng nhập. Nếu API của bạn luôn được hỗ trợ bởi giao diện người dùng giao diện người dùng để đăng nhập phương thức này bằng công việc.
2. Thứ hai đang sử dụng mã thông báo ủy quyền trong tiêu đề của yêu cầu. Sau khi người dùng được xác thực, anh ta nhận được một mã thông báo xác thực, mà anh ta phải đính kèm với mọi yêu cầu tiếp theo trong tiêu đề Ủy quyền HTTP. Tìm hiểu thêm về nó tại đây Individual Accounts in ASP.NET Web API. Lợi thế ở đây là bạn có thể hiển thị API của mình mà không yêu cầu trang đăng nhập.

Nhưng hãy nhớ khi sử dụng phương pháp thứ hai, mã thông báo xác thực phải được lưu trữ ở phía máy khách vì tất cả yêu cầu tiếp theo đều yêu cầu mã thông báo này. Hãy xem bài đăng trên blog này Cookies vs Tokens. Getting auth right with Angular.JS để hiểu cách làm việc với mã thông báo.

Hy vọng điều đó sẽ hữu ích.

Answer 2

Đây là một bài viết tuyệt vời về cách sử dụng Angular JS với xác thực dựa trên mã thông báo WebAPI 2.0.

http://bitoftech.net/2014/06/01/token-based-authentication-asp-net-web-api-2-owin-asp-net-identity/