Designing a Secure REST (Web) API without OAuth】的更多相关文章

Designing a Secure REST (Web) API without OAuth

原文:http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/ Situation You want to develop a RESTful web API for developers that is secure to use, but doesn’t require the complexity of OAuth and takes a simple “pass the cr…

Web API与OAuth:既生access token,何生refresh token

在前一篇博文中,我们基于 ASP.NET Web API 与 OWIN OAuth 以 Resource Owner Password Credentials Grant 的授权方式( grant_type=password )获取到了 access token,并以这个 token 成功调用了与当前用户(resource owner)关联的 Web API. 本以为搞定了 access token 就搞定了 Web API 的验证与授权问题,可是发现 OAuth 中还有一种 token,叫 r…

Secure a Web API with Individual Accounts and Local Login in ASP.NET Web API 2.2

https://docs.microsoft.com/en-us/aspnet/web-api/overview/security/individual-accounts-in-web-api Individual accounts provide two ways for a user to log in: Local login. The user registers at the site, entering a username and password. The app stores…

Web API在OWIN下实现OAuth

OAuth(Open Authorization) 为用户资源的授权提供了一个安全的.开放而又简易的标准.与以往的授权方式不同之处是OAuth的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAuth是安全的. 本节目录: Owin下WebAPI SelfHost 创建AccessToken 使用AccessToken Owin下WebAPI SelfHost 1.创建一个控制台项目(其实类库都可以)ApiServe…

[ASP.NET] 结合Web API在OWIN下实现OAuth

OAuth(Open Authorization) 为用户资源的授权提供了一个安全的.开放而又简易的标准.与以往的授权方式不同之处是OAuth的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAuth是安全的. 本节目录: Owin下WebAPI SelfHost 创建AccessToken 使用AccessToken Owin下WebAPI SelfHost 1.创建一个控制台项目(其实类库都可以)ApiServe…

在ASP.NET Web API 2中使用Owin OAuth 刷新令牌(示例代码)

在上篇文章介绍了Web Api中使用令牌进行授权的后端实现方法,基于WebApi2和OWIN OAuth实现了获取access token,使用token访问需授权的资源信息.本文将介绍在Web Api中启用刷新令牌的后端实现. 本文要用到上篇文章所使用的代码,代码编写环境为VS 2017..Net Framework 4.7.2,数据库为MS SQL 2008 R2. OAuth 刷新令牌 上文已经搞了一套Token授权访问,这里有多出来一个刷新令牌(Refresh Token),平白添加程序…

【译】使用Jwt身份认证保护 Asp.Net Core Web Api

原文出自Rui Figueiredo的博客,原文链接<Secure a Web Api in ASP.NET Core> 摘要:这边文章阐述了如何使用 Json Web Token (Jwt)方式 来配置身份验证中间件.这种方式十分适合移动App 后端等不使用cookie的后端程序. 网络上有许多资源可以教你如何保护ASP.NET Core Web应用程序.我写过一些,例如 ASP.NET Core Identity From Scratch , External Login Provider…

Web API design

Web API design 28 minutes to read Most modern web applications expose APIs that clients can use to interact with the application. A well-designed web API should aim to support: Platform independence. Any client should be able to call the API, regardl…

翻译一篇英文文章,主要是给自己看的——在ASP.NET Core Web Api中如何刷新token

原文地址 :https://www.blinkingcaret.com/2018/05/30/refresh-tokens-in-asp-net-core-web-api/ 先申明,本人英语太菜,每次看都要用翻译软件对着看,太痛苦了,所以才翻译的这篇博客,英语好的自己去看,以下为正文 当使用访问令牌来保护web api时,首先想到的是令牌过期时该怎么办? 您是否再次要求用户提供凭证?这并不是一个好的选择. 这篇博客文章是关于使用refresh令牌来解决这个问题的.特别是在 ASP.NET Cor…

Web Api 端点设计 与 Oauth

最近一直看这方面的东西,总结如下: 在后续会进行实例demo演示,本篇进行理论详解. 下篇相关博客: <Web Api 内部数据思考 和 利用http缓存优化 Api> <API接口安全加强设计方法> 一 什么是Web Api ? web api 是指 “使用HTTP协议通过网络调用的API”.API是“Application Programming Interface”的缩写,是软件组件的外部接口.也就是说某个软件集合体,人们能了解它的外部功能,但并不知道(也无需知道)其内部的运…