Come proteggere la mia applicazione AngularJS e Web Api

Question

Sto utilizzando AngularJS con ASP.NET Web lato server Api. Mi sembra che l'autenticazione sia diventata un gioco da ragazzi? O è troppo bello per essere vero?

Quindi sto pensando di utilizzare l'autenticazione "Account utente individuale" di Web Api. E penso che sia tutto ciò di cui ho bisogno. Finché ogni richiesta viene autenticata e nessuno può ottenere dati che non dovrebbero, non dovrei aver bisogno di fare molto di più giusto?

O mi mancano alcuni fondamentali fondamentali di sicurezza?

Answer 1

quando si tratta di garantire l'API si hanno due principali approcci approccio basato

1. Cookie. Questo è il modo tradizionale, in cui si utilizza il modulo standard per autenticare l'utente e quindi impostare il cookie di autenticazione del modulo. Tutte le richieste non autorizzate portano l'utente alla pagina di accesso. Se la tua API è sempre supportata dal front-end dell'interfaccia utente, fai il login con questo metodo con il lavoro.
2. Secondo utilizza il token di autorizzazione nell'intestazione della richiesta. Una volta che l'utente è autenticato, ottiene un token di autenticazione, che deve allegare a ogni richiesta successiva nell'intestazione Autorizza HTTP. Ulteriori informazioni su di esso qui Individual Accounts in ASP.NET Web API. Il vantaggio qui è che puoi esporre la tua API senza richiedere una pagina di accesso.

Ma ricorda quando si utilizza il secondo approccio, il token di autenticazione deve essere memorizzato sul lato client poiché tutte le richieste successive richiedono questo token. Guarda questo post del blog Cookies vs Tokens. Getting auth right with Angular.JS per capire come lavorare con il token.

Spero che aiuti.

Answer 2

Ecco un ottimo articolo sull'utilizzo di Angular JS con l'autenticazione basata su token WebAPI 2.0.

http://bitoftech.net/2014/06/01/token-based-authentication-asp-net-web-api-2-owin-asp-net-identity/