如何保护由Web公开的RESTful web服务？

Question

在我的ASP.NET应用程序中，API控制器公开了REST web服务。这些服务对于我将业务层与视图层同步是非常有用的。现在我想让它们更加安全，因为我觉得我的所有数据都是公开的，只要他输入web服务的http url，任何人都可以访问这些数据。我的web服务有任何用户名/密码安全机制吗？或者这是通过对IIS的特定配置完成的？

Answer 1

如果您希望创建自己的安全机制，那么使用http头中的令牌进行身份验证并不困难。例如，您可以使用公共/私钥方案，并散列一些经常更改的项，如DateTime和输入参数以及资源url本身。

.Net提供了在到达服务方法之前放置安全性检查的方法，因此您甚至不必在每个方法的http头中检查令牌。只有在对请求进行身份验证时才会调用它们。