当你有一个web api时,auth cookie需要在哪里?
问题描述:
我有一个Web Api(C#MVC4与EF5),并希望为其他应用程序提供数据信息。我将使用一种反中继攻击类型,为每个请求发送一个唯一的键作为响应,并在应用程序发送下一个请求时期待相同的键。当你有一个web api时,auth cookie需要在哪里?
现在,我混淆了FormsAuthentication。我可以使用WebApi的FormsAuthentication吗?它对我来说看起来很奇怪,我在安全方面很新手。我不知道正确的表达式也搜索,并用我的母语,我没有找到答案。
我想多学点东西,所以我用iis和我的朋友建立一个服务器开发一个angularjs应用程序放在那里,而我在另一台服务器上开发web api,我的朋友需要从我的api获取数据。
现在,我不知道我是否需要做membershipcustomprovider或我的朋友需要在客户端应用程序上保存数据。
有人可以帮我吗?
答
对于WebApi,您不希望使用表单身份验证,因为它基于HTTP表单。
最常见的方法是使用基于HTTPS的基本身份验证,因为它很容易设置和使用。
+0
但应用程序(angularjs)需要知道用户是否登录?或者web api?我怎样才能做到这一点?任何想法? – 2013-05-07 14:01:50
'反中继攻击'。那是什么以及为什么你认为在响应/请求中使用密钥会起作用? – jgauffin 2013-05-07 13:12:16
这个问题没有答案,但是问了类似的问题:http://stackoverflow.com/questions/15574486/angular-against-asp-net-webapi-implement-csrf-on-the-server – lucuma 2013-05-07 13:12:22
@jgauffin here关于继电器攻击 http://stackoverflow.com/questions/11775594/how-to-secure-an-asp-net-web-api 我不知道是否真的值得,我是一个总新手。我正在阅读很多试图理解我的场景的最佳方法的东西。 – 2013-05-07 13:46:49