Я читал немало вопросов здесь, на SO об обеспечении безопасности с использованием ключей API веб-интерфейсы API, маркеры, HMAC ЭСТ и не нашли ответ, который я ищу для.Как обезопасить свой Web API - MVC4 с Android/прошивкой приложения
Я работаю над приложением проекта MVC4 веб с интернет и интранет-сайтов, веб-API и Android/IOS приложений.
Веб-API должен использоваться моими приложениями, а никто другой, как , будет получать доступ к конфиденциальным данным.
Что было бы лучшим способом обеспечения безопасности этого api, так что только мои приложения могут его использовать? То, что кажется таким простым запросом, очень сложно начать.
Я смотрел на пост здесь на SO, используя HMAC и несколько других, но ни один из них не звучал, как они будут соответствовать здесь, более чем вероятно, я просто что-то отсутствует.
Является ли HMAC способ перехода или сертификаты клиентов более подходят для этой ситуации?
Должен ли я использовать SSL и какой-либо ключ API?
Я знаю, что вопрос немного расплывчатый, я смотрел на него более часа, пытаясь понять, как говорить то, что я думаю, поэтому я решил, что просто опубликую его и при необходимости обновить ... :(
Я был бы более чем счастлив предоставить более подробную информацию по запросу.
Проблема с безопасностью заключается в том, что не существует решения одного размера для всех типов. Или, по крайней мере, я не знаю об этом. Итак, в вашем случае, кто будет использовать веб-API - как веб-приложение, так и собственные приложения? Будет ли использоваться веб-API из JavaScript или кода на стороне сервера веб-приложения? Будет ли веб-API находиться в одном домене или другой? Вы хотите, чтобы учетные данные делились между веб-приложением и веб-API? Вы хотите, чтобы вызовы API были аутентифицированы с учетными данными пользователя или отдельными учетными данными приложения? Можете ли вы использовать HTTPS - я имею в виду, есть ли у вас сертификат CA, который вы можете использовать? – Badri