ASP.NET Web Api - Ủy quyền từ các giá trị chuỗi truy vấn và bảo mật API

Question

Trong việc thiết kế và tìm hiểu về ASP.NET Web API, tôi đã gặp một số thách thức mà tôi muốn một số trợ giúp và thảo luận.

Lấy cảm hứng từ điều này excellent post về thiết kế API REST an toàn mà không có OAuth Tôi tự hỏi cách tốt nhất để tiếp cận xác thực các mã thông báo và thông tin khác nhau mà tôi định yêu cầu.

Tóm tắt là tôi sẽ được yêu cầu (trong chuỗi truy vấn) các thông tin sau đây ..

• dùng id
• api key
• timestamp
• một hash chữ ký dựa trên một bí mật khóa người dùng đã được phát hành và băm cùng với các giá trị yêu cầu

Câu hỏi/thắc mắc của tôi là:

Nếu đây là cách tiếp cận âm thanh, cách tốt nhất để thực hiện điều này bằng ASP.NET Web API là gì? Tôi hiện đang nghĩ về việc sử dụng thuộc tính tùy chỉnh mà tôi có thể đánh dấu phương pháp của mình, loại thuộc tính Authorize lấy yêu cầu từ chuỗi truy vấn hoặc đối tượng loại POCO chứa tất cả các giá trị và tôi có thể sử dụng để giữ tất cả mã loại ủy quyền ở một nơi.

Có ai có kinh nghiệm hoặc suy nghĩ về điều này không?

Cảm ơn :)

Answer 1

Hiện nay, như bạn có thể thấy, cách tiếp cận AuthorizeAttribute được sử dụng trong Web API. Tôi nghĩ rằng đây là một cách tiếp cận khá tốt ở chỗ chúng ta có thể đặt thuộc tính này vào các mục riêng lẻ cần được cho phép.

Tôi đã thực hiện ủy quyền bằng cách mở rộng System.Web.Http.Filters.AuthorizationFilterAttribute. Sau khi bạn mở rộng nó, tất cả các chi tiết ủy quyền tùy thuộc vào bạn và bạn có nhiều cách tiếp cận để lựa chọn.