Sichern von MVC und WebAPI-Anwendung

Question

Ich arbeite an MVC5 und Web-API-Anwendung. Verwenden Sie sowohl Organisationskonten als auch externe Konten in dieser App. Ich möchte wissen, was die besten Möglichkeiten sind, um meine Web-API und MVC-Anwendung (Authentifizierung und Autorisierung) zu sichern.

Können wir zwei separate Authentifizierungsmechanismen für MVC und WebAPI hinzufügen? > API Layer (Web API) - -

Meine Anwendungsstruktur würde unter

Application Layer (UI) sein> Data Access Layer (Modelle + Entity Framework).

Irgendjemand schlägt mir die richtige Richtung vor, um meine Anwendung in allen Aspekten zu sichern.

Answer 1

zu Versuch

meiner Anwendung sichern in allen Aspekten

ist ein wenig "breit" als Konzept.

Wie auch immer, die erste und wichtigste Sache hier ist, Ihren API-Zugang und Ihre Anmeldung zu sichern. Ich empfehle Ihnen, eine vollständige tokenbasierte Authentifizierung zu implementieren, die Ihnen auch vollen Zugriff auf externe Auth-Provider wie fb, twitter oder sogar Ihren benutzerdefinierten adfs-Provider bietet.

Überprüfen Sie this Artikel für eine sehr schöne Umsetzung (Ich persönlich machte eine Reihe von App auf diese Weise mit großem Erfolg).

Zweitens, aber nicht weniger wichtig, ist HTTPS zu verwenden. Vergiss es nicht.

Sie können auch IdentityServer überprüfen, was Ihre Authentifizierungs- und Autorisierungsschichten extrem vereinfachen kann.