Web中的身份验证使用基本表单身份验证完成,API中的身份验证使用OAuth2完成.
事实证明,在同一个应用程序中使用两种身份验证方法有点难以维护,因此我们决定放弃表单身份验证并对Web和API项目使用OAuth2.
在Web项目中,我们可能必须在cookie中存储OAuth2令牌,而不是将它们作为标头发送.是否可以使用OAuth2来保护“非休息”应用程序?如果是这样,这样做会有一些安全问题吗?
解决方法
> Tokens and Cookies.
> The Ultimate Guide to Mobile API Security
> The Most Common OAuth2 Vulnerability
> Using OAuth 2.0 with the SOAP API
> Using OAuth2 with SOAP
> ASP.NET WebForms OAuth2 multi-tenant resource and WPF client
这些网站将成为起点. OAuth 2.0受到了很多批评,但每个人都指出的安全漏洞在其他身份验证模型中也很常见.因此,如果应用程序中解决了这些漏洞,那么安全问题将会自行缓解.
> OAuth 2.0 Threat Model and Security Considerations
> Common OAuth2 Vulnerabilities and Mitigation Techniques
> SaferWeb: OAuth2.a or Let’s Just Fix It
原文地址:https://www.jb51.cc/aspnet/248108.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。