Autenticación y Autenticación API Web ASP.NET

Question

Estoy intentando crear una aplicación web asp.net segura. Puede encontrar muchas maneras de cómo proteger su API, pero quiero saber cuál es la mejor manera o el "estándar de la industria" para implementar esto en mi caso.

Estos son mis requisitos - La API será utilizada por un pequeño número de desarrolladores de terceras partes de sitios web/aplicaciones móviles, etc. - Los desarrolladores que deseen utilizar esta API tienen que darse una clave para acceder a la API (Autorización) - Los usuarios (visitantes/consumidores) tienen que iniciar sesión en las aplicaciones de terceros para ver su información personalizada. - La API usará una base de datos de miembros ASP para administrar/autenticar a los usuarios.

Sé que es posible utilizar la autenticación HTTP básica para autenticar usuarios, pero ¿cómo implemento la parte de autorización de la API?

¿Es OAuth 2.0 una solución?

Answer 1

hay un muy buen artículo que describe la autenticación/autorización con el token/clave:

• Making your ASP.NET Web API’s secure

También describe algunas otras buenas prácticas en materia de seguridad API Web ASP.NET.

Answer 2

También sugeriría el uso de la biblioteca Thinktecture.IndentityModel.40 que pueda soportar el siguiente:

Base

• Base64Url codificación
• Época de conversión Fecha Hora
• aleatoria generación de números
• Comparación de cadenas de constantes de tiempo

reivindicaciones

• Anoynmous afirma director
• autenticación de reclamación instantánea
• reivindicaciones Autorización basada

Constant

• constantes útiles cuando se trata de algoritmos, formatos de fecha y hora, JWT, SWT, WS-Security & WS-Trust

métodos de extensión

• XML (hacia y desde XmlReader, XmlDocument, XDocument)
• RSTRs WS-Trust
• Seguridad de conversión de señal
• certificados X.509