保护ASP.net web (REST)

Question

我正在开发一个中间件web服务应用程序(REST)使用ASP.net MVC-4 web .

其余的服务由android、ios、angularjs客户端应用程序使用。同一个用户能够同时使用多个平台。

有人能告诉我哪一个是我的最佳协议吗？我读过关于JWT，HMAC，auth，auth-2协议的文章，但是我无法做出正确的决定。

Answer 1

JWT是一个很好的方法来处理这个问题。我的两分钱是对客户端的任何和所有用户输入进行消毒(减少XSS攻击的表面积)，并使用cookie作为在客户端和服务器之间传输令牌的媒介。将令牌过期时间设置为一些东西，即使它被偷了，它也不会在很长时间内有用。您可以查找XSS预防备忘单，这将提供有关XSS预防的更多信息。最后，如果这是一个生产级的应用程序，请让Mozilla天文台这样的工具对其进行编码或扫描。希望这能有所帮助。

Answer 2

您应该使用微软的新.NET核心技术。然后您就拥有了来自ASP.NET核心标识的属性。例如，在控制器中，您只需在加密之前编写一个HTTPS属性，等等.看看David的REST保护带有.NET内核的视频，我认为是9频道。

您应该使用它，因为微软希望重新启动他们的网络技术。新的实体框架核心而不是ADO.NET，新的路由机制(带有属性)，默认情况下的依赖注入策略模式，您的应用程序中跨平台的兼容性，与docker (在单独的码头容器中运行的微服务)并行运行的可能性，以及.长话短说:看看.NET核心和.NET核心标识，以保护api的安全。

在2019年与.NET核心版本3也提供了一个图形用户界面。WinForms，甚至WPF。遗憾的是，到目前为止，还没有像“通用XAML”这样的东西，但微软正致力于这方面的工作。