asp.net – 是否可以使用OAuth2来保护“非休息”应用程序

前端之家收集整理的这篇文章主要介绍了asp.net – 是否可以使用OAuth2来保护“非休息”应用程序前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我们有一个用ASP.NET MVC编写的应用程序,它包含Web(非休息,使用razor)和API项目(以及其他一些项目,但现在除此之外).

Web中的身份验证使用基本表单身份验证完成,API中的身份验证使用OAuth2完成.

事实证明,在同一个应用程序中使用两种身份验证方法有点难以维护,因此我们决定放弃表单身份验证并对Web和API项目使用OAuth2.

在Web项目中,我们可能必须在cookie中存储OAuth2令牌,而不是将它们作为标头发送.是否可以使用OAuth2来保护“非休息”应用程序?如果是这样,这样做会有一些安全问题吗?

解决方法

有一些关于你感兴趣的主题的优秀文章.这些文章解释了您正在寻找的细节.

> Tokens and Cookies.
> The Ultimate Guide to Mobile API Security
> The Most Common OAuth2 Vulnerability
> Using OAuth 2.0 with the SOAP API
> Using OAuth2 with SOAP
> ASP.NET WebForms OAuth2 multi-tenant resource and WPF client

这些网站将成为起点. OAuth 2.0受到了很多批评,但每个人都指出的安全漏洞在其他身份验证模型中也很常见.因此,如果应用程序中解决了这些漏洞,那么安全问题将会自行缓解.

> OAuth 2.0 Threat Model and Security Considerations
> Common OAuth2 Vulnerabilities and Mitigation Techniques
> SaferWeb: OAuth2.a or Let’s Just Fix It

但也必须指出,OAuth2不是下一代OAuth1.你可以找到一篇优秀的文章here.

猜你在找的asp.Net相关文章