使用OpenID与服务:最好的方式来验证?
-
11-09-2019 - |
题
我在找一些指导的最佳方式进行身份验证,以我的服务.现在,我有一个标准的服务。净3.5和视网站,坐在上面的这个服务.
电视网站使用OpenID对用户进行身份验证,在开发阶段,我们只是一直通过用户的OpenID权标识符的服务进行身份验证。显然这不是什么我们会被释放到顾客的时候我们去住。
所以我的问题是这个: 什么是最好的方式来验证服务?
一些API我已经打了与周围使用的验证标记。另一个想法,我们已经在连接服务,通过客户的加密钥匙,他们可以使用的所有转让。
我想出声来这里,再一次,任何帮助是非常感谢!谢谢!
...
更新:现在我已经创建了一个自定义SoapAuthenticationHeader其中有一个OpenIdURL财产。这是用于所有服务电话用户进行认证。问题是双重的:
- 如果一个黑客知道的用户的OpenIdURL,他们可以很容易获得的服务.
- 该OpenIdURL目前正通过在普通的文本。
所以我可以通过一个加密钥匙给客户连接到服务,并且有客户机密OpenIdURL在SoapAuthentication头。但我不确定关于如何最好去说...
解决方案
你可能想看看护身份验证:
(使用 http://oauth.net/code/ 用于编码。)
因为它是专门为这一方案(开ID不是,真的).
还有另外一个问题上SA其要求的最佳方式安全网的服务,并开ID并保护身份验证是两个讨论:
其他提示
ASMX网络服务(微软现在认为是"遗产")没有能力使用OpenID进行认证。他们只能使用什么IIS提供给他们。你可能可以增加一个SoapExtension会做OpenID认证对于他们,但我不会花时间。
我不知道足够关于OpenID能够肯定,但我怀疑它可以融入WCF通过联合安全。我肯定别人会答复的详细资料。
这不是一个真正的答案,但我不能离开的意见...
你说"我有一个标准的服务。净3.5和视网站,坐在上面的这个服务".
我可能方式关闭基地在这里,但语言意味着这两个坐在同一服务器上。如果那样,为什么你就不能分享用户的数据库和cookie令牌?
詹姆斯