Управление идентификацией - защита API REST/веб-сервиса

Question

Каковы методы работы в 2015 году в компаниях, в которых вы работаете, для обеспечения наивысшего уровня безопасности при разработке REST API/веб-сервиса?

Пожалуйста, ответьте с учетом Управление идентификационными данными.

Например, вы все еще используете хеши для паролей в своих базах данных? Я уверен, что многие из вас работают в компаниях, где уровень безопасности имеет большое значение. Я был бы очень благодарен, если бы вы могли поделиться своим опытом.

Если это имеет значение, мы хотели бы использовать .NET 5 с их новейшим веб-Api.

EDIT Мнение? Я прошу, что люди используют для обеспечения своих услуг в настоящее время, нет оснований полагаться на мнение.

Answer 1

Лучше всего избегать самостоятельного управления удостоверениями. Для приложений, используемых в вашей компании, используйте каталог Active Directory (ADFS) или облачный каталог (Azure AD).

Для всех других (интернет-приложений) используйте поставщика социального обеспечения, например Facebook, Google или Twitter.

Ваши пользователи не нуждаются в другом имени пользователя и пароле для запоминания, и вам не нужны головные боли при хранении паролей и сбросе пароля.