.NET WebAPI и http basic authentication

Question

Я создал решение WEBAPI, и я создаю страницы HTML для доступа ко всем функциям этого веб-сервиса. Я использую http basic authentication.

Я получил эти варианты

1. Сохраните username и password через Варс Javascript и отправить их каждый раз, когда я называю любого из WEBAPI функций.
2. Отправьте username и password в первый раз, создайте токен на сервере и отправьте его клиенту, затем сохраните его как файл cookie и используйте его каждый раз, когда я вызываю любую из функций WEBAPI.
3. Не используйте базовую аутентификацию HTTP.

Каков наилучший способ справиться с этим?

Answer 1

Вы не хотите отправлять имя пользователя/пароль при каждом вызове по соображениям безопасности. Аутентификация на основе аутентификации будет способом перехода, и для этого вы можете использовать встроенную идентификационную идентификацию.

Лучший учебник я нашел для этого является http://bitoftech.net/2014/06/01/token-based-authentication-asp-net-web-api-2-owin-asp-net-identity/

Answer 2

Там нет ничего плохого с использованием базовой аутентификации до тех пор, как это делается по защищенному каналу. Если вы отправляете имя пользователя и пароль для каждого вызова, вашему api необходимо будет получить доступ к базе данных при каждом вызове только для аутентификации пользователя. Если вы отправляете токен, когда пользователь аутентифицирован, вы удаляете необходимость доступа к базе данных при последующих вызовах.

Использование маркера также позволяет вам воспользоваться провайдером идентификации, таким как Thinktecture's IdentityServer, для обеспечения единого входа. Если у вас есть несколько систем, это позволит пользователям регистрироваться один раз, а затем обращаться к любому из приложений, и это может значительно упростить безопасность.