Ревизионная служба и авторизация роли пользователя

Мы создаем Restful Web API для нашего клиента, который будет потребляться только их приложениями Native Mobile и веб-приложениями нет доступа к третьей стороне.Ревизионная служба и авторизация роли пользователя

Каждый пользователь имеет свои собственные учетные данные и роль в приложении, а также доступ на основе ролей, а также авторизацию.

Что является лучшим способом аутентификации и авторизации роли пользователя в веб-API без сохранения сеанса. Я использую Asp.net web API 1.0, так как я на 4.0.

Нужно ли мне получать информацию о роли из БД при каждом вызове. любой эффективный способ?

источник

2013-12-02 Techmaster

Рассматривали ли вы с помощью API-шлюзов, например, Apigee или Layer 7, которые будут обрабатывать AuthN и AuthZ для вас? –

Если вы находитесь в среде на основе .NET, вы можете выбирать из нескольких схем аутентификации и самостоятельно выбирать несколько схем контроля доступа/авторизации.

Для аутентификации самым простым способом является использование механизмов, поддерживаемых HTTP, то есть HTTP-аутентификация по стандарту HTTP. Вы также можете посмотреть аутентификацию на основе Kerberos. Все они доступны OOTB в .NET.

Вы также можете рассмотреть Open ID Connect или OAuth, но для этого потребуются дополнительные библиотеки.

Что касается авторизации, .NET дает вам авторизацию на основе утверждений, которая является способом обеспечения контроля доступа на основе ролей.

Посмотрите на этот замечательный ответ на SO: Using Claim-Based Authorization

источник

2013-12-02 13:23:31

Могу ли я использовать авторизацию на основе утверждений в api 1.0 & .net 4.0 – Techmaster

Ревизионная служба и авторизация роли пользователя

ответ

Смежные вопросы