SSL 如何影响 .NET Web Api 安全性?
How does SSL affect .NET Web Api security?
我已经在 asp.net 网络 api 中阅读了一些关于身份验证和授权的内容,并且我明白我基本上必须使用 ssl 才能不让人们获得身份验证令牌.如果我没记错的话,这些认证令牌是在 header 内发送的?并且 SSL 隐藏了这些 headers 以便 public 如果他们使用某些工具进行互联网收听不赶上?如果是这样的话,我想我可以通过不允许 api 到 运行 来创建 "custom" 身份验证,除非特定的 header 通过 api 调用发送?如果我使用 ssl,哪些人应该无法赶上?
我意识到我用了很多问号,但这只是为了说明我不清楚的地方,非常感谢任何帮助或输入,谢谢!
身份验证、授权和通过 SSL 保护连接是 Web 应用程序的 3 个不同部分。
身份验证
基本上身份验证处理 who 你是。例如,对于登录名,您提供用户名和密码。应用程序现在知道你是谁了。
授权
授权管理用户的访问权限。它说,在 what 您可以访问。例如,如果您提供了正确的凭据,那么您是 authenticated,但可能不是所有的 authorized。
SSL
如您所说,SSL 正在保护连接。如果网络流量超过 HTTPS,您将无法嗅探(使用 WireShark 或 Fiddler)网络流量。这是您的 IIS 上的设置,Web api 应用程序是 运行。您不需要创建 "custom" 身份验证。
希望对您有所帮助。
我已经在 asp.net 网络 api 中阅读了一些关于身份验证和授权的内容,并且我明白我基本上必须使用 ssl 才能不让人们获得身份验证令牌.如果我没记错的话,这些认证令牌是在 header 内发送的?并且 SSL 隐藏了这些 headers 以便 public 如果他们使用某些工具进行互联网收听不赶上?如果是这样的话,我想我可以通过不允许 api 到 运行 来创建 "custom" 身份验证,除非特定的 header 通过 api 调用发送?如果我使用 ssl,哪些人应该无法赶上?
我意识到我用了很多问号,但这只是为了说明我不清楚的地方,非常感谢任何帮助或输入,谢谢!
身份验证、授权和通过 SSL 保护连接是 Web 应用程序的 3 个不同部分。
身份验证
基本上身份验证处理 who 你是。例如,对于登录名,您提供用户名和密码。应用程序现在知道你是谁了。
授权
授权管理用户的访问权限。它说,在 what 您可以访问。例如,如果您提供了正确的凭据,那么您是 authenticated,但可能不是所有的 authorized。
SSL
如您所说,SSL 正在保护连接。如果网络流量超过 HTTPS,您将无法嗅探(使用 WireShark 或 Fiddler)网络流量。这是您的 IIS 上的设置,Web api 应用程序是 运行。您不需要创建 "custom" 身份验证。
希望对您有所帮助。