Как защитить WebAPI внутри MVC 4 .NET SPA-шаблон с базой аутентификации на основе токенов?

Question

Я читал различные статьи на тему обеспечения WebAPI, в том числе:

leastprivilege article

kevin junghans article

piotr walat's article

и многие другие.

Я хотел бы использовать шаблон MVC 4.NET SPA (с помощью либо Backbone.js, либо другого JS lib), и я хотел бы защитить WebAPI, используемый SPA с базовой аутентификацией HTTP, используя токены в заголовках, потому что некоторые клиентов WebAPI не будут поддерживать файлы cookie, необходимые для проверки подлинности форм.

Шаблон SPA использует SimpleMembership и oauth, которые я хотел бы использовать и объединять с базовой HTTP-аутентификацией.

Что мне непонятно, является ли шаблон SPA-факсом готовым к аутентификации и авторизации WebAPI с базовой аутентификацией и токенами HTTP, или мне нужно следовать и объединить это вместе со ссылками выше?

Answer 1

Это довольно большая тема, и ее лучше всего полностью понять, прежде чем просто подключать шаблоны.

Вот большое видео, чтобы помочь поставить все на месте: https://vimeo.com/43603474

Вы должны использовать SSL для любого маркера аутентификации на основе (как OAuth)

После того, как пользователь аутентифицирован - через OAuth или самостоятельно членства, вы можете просто приписать любые методы Web Api с помощью [Authorize], чтобы гарантировать, что не аутентифицированный пользователь не сможет вызвать эти методы (вернет 401 - не авторизован, если не аутентифицирован)