WebApi和Web应用程序的最佳安全实现是什么

Question

我正在尝试创建一个使用web API来执行数据库操作的Web应用程序。我在工作中创建了一个在API级别使用Windows身份验证的项目。因为这是一个内部网web应用程序，所以我不需要在web应用程序上实现登录机制。然而，我正在做的这个项目可以是私有或公共的web应用程序，我想实现一个登录机制，但我希望能够指定使用哪种类型的安全，即LDAP，通用用户名/密码，谷歌，Facebook等。

问题是，在Web应用程序和Web Api上实现安全性的最佳策略是什么。对于Web Api，我可能会像其他Api一样实现一些令牌机制的软件。但不确定是否有其他方法。

登录选项是否像Google、Facebook等是在前端完成的？或者我可以在WebApi端实现它？

Answer 1

这个案例的最佳实践是，

JWT

• 网络应用程序：client certificate authentication或JWT

或者，如果目标公司使用G suits与公司域名，谷歌将是可以的。您可以使用电子邮件地址的域名设置过滤器。