首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

如何保护我的AngularJS和WebApi应用程序-HowtosecuremyAngularJSandWebApiapplication

作者:爱啊诗的孩子 | 来源:互联网 | 2023-09-25 13:14
IamusingAngularJSwithASP.NETWebApiserverside.Seemstomelikeauthenticationhasnowbecom

I am using AngularJS with ASP.NET Web Api server side. Seems to me like authentication has now become a breeze? Or is this too good to be true?

我在ASP.NET Web Api服务器端使用AngularJS。对我来说,身份验证现在变得轻而易举?或者这太好了,不是真的吗?

So I'm thinking of using the Web Api's "Individual User Accounts" authentication. And I am thinking that is all I need. As long as every request is authenticated and noone can get any data they shouldn't I shouldn't need to do much more right?

所以我正在考虑使用Web Api的“个人用户帐户”身份验证。而我认为这就是我所需要的。只要每个请求都经过身份验证,没有人可以获得任何数据,我就不应该做更多的权利吗?

Or am I missing some key security fundamentals?

或者我错过了一些关键的安全基础知识?

2 个解决方案

#1

15  

When it comes to securing the API you have two main approaches

在保护API方面,您有两种主要方法

  1. COOKIE based approach. This is the traditional way, where you use the standard form to authenticate the user and then set the form authentication COOKIE. All unauthorized request take the user to login page. If your API is always supported by UI front end to do login this method with work.
  2. 基于COOKIE的方法。这是传统方式,您使用标准表单对用户进行身份验证,然后设置表单身份验证COOKIE。所有未经授权的请求都会将用户带到登录页面如果UI前端始终支持您的API,请使用work登录此方法。
  3. Second is using the authorization token in the header of the request. Once the user is authenticated he get a auth token, which he has to attach to every subsequent request in the Authorize HTTP header. Learn more about it here Individual Accounts in ASP.NET Web API . The advantage here is that you can expose your API without requiring a login page.
  4. 其次是在请求的标头中使用授权令牌。一旦用户通过身份验证,他就会获得一个身份验证令牌,他必须将其附加到Authorize HTTP标头中的每个后续请求。在ASP.NET Web API中了解有关它的更多信息。这里的优点是您可以在不需要登录页面的情况下公开您的API。

But remember when using the second approach, the auth token has to be stored on the client side as all subsequent request require this token. Look at this blog post COOKIEs vs Tokens. Getting auth right with Angular.JS to understand how to work with token.

但请记住,在使用第二种方法时,身份验证令牌必须存储在客户端,因为所有后续请求都需要此令牌。看看这篇博客文章COOKIEs vs Tokens。使用Angular.JS获得认证,以了解如何使用令牌。

Hope it helps.

希望能帮助到你。

#2

9  

Here's a great article about using Angular JS with WebAPI 2.0 token based authentication.

这是一篇关于使用Angular JS和基于WebAPI 2.0令牌的身份验证的精彩文章。

http://bitoftech.net/2014/06/01/token-based-authentication-asp-net-web-api-2-owin-asp-net-identity/

http://bitoftech.net/2014/06/01/token-based-authentication-asp-net-web-api-2-owin-asp-net-identity/


推荐阅读
  • version

    优化后的标题:深入探讨网关安全:将微服务升级为OAuth2资源服务器的最佳实践

    优化后的标题:深入探讨网关安全:将微服务升级为OAuth2资源服务器的最佳实践
    本文深入探讨了如何将微服务升级为OAuth2资源服务器,以订单服务为例,详细介绍了在POM文件中添加 `spring-cloud-starter-oauth2` 依赖,并配置Spring Security以实现对微服务的保护。通过这一过程,不仅增强了系统的安全性,还提高了资源访问的可控性和灵活性。文章还讨论了最佳实践,包括如何配置OAuth2客户端和资源服务器,以及如何处理常见的安全问题和错误。 ... [详细]
  • request

    DVWA学习笔记系列:深入理解CSRF攻击机制

    DVWA学习笔记系列:深入理解CSRF攻击机制
    DVWA学习笔记系列:深入理解CSRF攻击机制 ... [详细]
  • version

    Cookie学习小结

    Cookie学习小结
    Cookie学习小结 ... [详细]
  • version

    HTTP header 介绍

    HTTP(HyperTextTransferProtocol)是超文本传输协议的缩写,它用于传送www方式的数据。HTTP协议采用了请求响应模型。客服端向服务器发送一 ... [详细]
  • request

    用阿里云的免费 SSL 证书让网站从 HTTP 换成 HTTPS

    用阿里云的免费 SSL 证书让网站从 HTTP 换成 HTTPS
    HTTP协议是不加密传输数据的,也就是用户跟你的网站之间传递数据有可能在途中被截获,破解传递的真实内容,所以使用不加密的HTTP的网站是不 ... [详细]
  • sum

    基于Net Core 3.0与Web API的前后端分离开发:Vue.js在前端的应用

    基于Net Core 3.0与Web API的前后端分离开发:Vue.js在前端的应用
    本文介绍了如何使用Net Core 3.0和Web API进行前后端分离开发,并重点探讨了Vue.js在前端的应用。后端采用MySQL数据库和EF Core框架进行数据操作,开发环境为Windows 10和Visual Studio 2019,MySQL服务器版本为8.0.16。文章详细描述了API项目的创建过程、启动步骤以及必要的插件安装,为开发者提供了一套完整的开发指南。 ... [详细]
  • web

    Go Echo 框架入门指南【1】

    本文介绍了 Go 语言中的高性能、可扩展、轻量级 Web 框架 Echo。Echo 框架简单易用,仅需几行代码即可启动一个高性能 HTTP 服务。 ... [详细]
  • case

    Java 15 发布,带来多项重要更新!

    2020年9月15日,Oracle正式发布了最新的JDK 15版本。本次更新带来了许多新特性,包括隐藏类、EdDSA签名算法、模式匹配、记录类、封闭类和文本块等。 ... [详细]
  • request

    为什么多数程序员难以成为架构师?

    为什么多数程序员难以成为架构师?
    探讨80%的程序员为何难以晋升为架构师,涉及技术深度、经验积累和综合能力等方面。本文将详细解析Tomcat的配置和服务组件,帮助读者理解其内部机制。 ... [详细]
  • web

    应用链时代,详解 Avalanche 与 Cosmos 的差异

    应用链时代,详解 Avalanche 与 Cosmos 的差异 ... [详细]
  • request

    网站访问全流程解析

    网站访问全流程解析
    本文详细介绍了从用户在浏览器中输入一个域名(如www.yy.com)到页面完全展示的整个过程,包括DNS解析、TCP连接、请求响应等多个步骤。 ... [详细]
  • version

    如何将TS文件转换为M3U8直播流:HLS与M3U8格式详解

    如何将TS文件转换为M3U8直播流:HLS与M3U8格式详解
    在视频传输领域,MP4虽然常见,但在直播场景中直接使用MP4格式存在诸多问题。例如,MP4文件的头部信息(如ftyp、moov)较大,导致初始加载时间较长,影响用户体验。相比之下,HLS(HTTP Live Streaming)协议及其M3U8格式更具优势。HLS通过将视频切分成多个小片段,并生成一个M3U8播放列表文件,实现低延迟和高稳定性。本文详细介绍了如何将TS文件转换为M3U8直播流,包括技术原理和具体操作步骤,帮助读者更好地理解和应用这一技术。 ... [详细]
  • version

    WordPress Duplicator 0.4.4 版本存在跨站脚本攻击漏洞分析

    在对WordPress Duplicator插件0.4.4版本的安全评估中,发现其存在跨站脚本(XSS)攻击漏洞。此漏洞可能被利用进行恶意操作,建议用户及时更新至最新版本以确保系统安全。测试方法仅限于安全研究和教学目的,使用时需自行承担风险。漏洞编号:HTB23162。 ... [详细]
  • version

    分享Dota 2服务器延迟检测脚本及优化建议

    本文分享了一个用于检测Dota 2服务器延迟的脚本,并提供了优化建议。该脚本基于Franzmeister对原始PlanetSide 2 ping测试代码的修改,能够有效帮助玩家监测游戏连接质量,提升游戏体验。此外,文中还详细介绍了如何配置和使用该脚本,以及常见的网络优化技巧,以进一步降低延迟和提高稳定性。 ... [详细]
  • version

    如何在ASP.NET中通过加密数据库连接字符串来增强数据安全性

    本文详细探讨了在ASP.NET环境中通过加密数据库连接字符串来提升数据安全性的方法。加密技术不仅能够有效防止敏感信息泄露,还能增强应用程序的整体安全性。文中介绍了多种加密手段及其实施步骤,帮助开发者在日常开发过程中更好地保护数据库连接信息,确保数据传输的安全可靠。 ... [详细]
author-avatar
爱啊诗的孩子
这个家伙很懒,什么也没留下!
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有