Как ограничить доступ API к известным клиентским приложениям в приложении Web API 2?

Question

Как ограничить доступ API к известным клиентским приложениям в приложении Web API 2?

1

Я создал приложение, состоящее из трех основных компонентов:

Проект.NET Web Api 2, который предоставляет несколько WebApiControllers. Некоторые методы, такие как "Регистрация", открыты для анонимного доступа, а другие авторизованы с использованием базовой авторизации на основе токенов (стандартный подход.Net Identity 2, включенный в шаблоны.Net WebApi2). В интересах быстрой и грязной функциональности этот уровень напрямую связывается с моей базой данных с использованием Entity Framework.
Проект MVC5, который предоставляет интерфейсный веб-клиент и взаимодействует с веб-API.
Клиент iOS, который взаимодействует с веб-API.

С этой структурой конечные пользователи ("потребители") могут создавать свои собственные учетные записи, используя метод аутентификации "Register", не прошедший проверку подлинности. Затем пользователи могут получать и обрабатывать свои собственные данные через аутентифицированные методы, защищенные заголовками авторизации на токенах.

Вот мой вопрос:

Как запретить неизвестным клиентам совершать вызовы в API, не создавая значительных накладных расходов или пересматривая стандартную функциональность авторизации веб-API?

В идеале, я бы хотел иметь какую-то таблицу идентификаторов для клиентских приложений, чтобы я мог разрешать новые клиентские приложения или запрещать их при необходимости.

Mike 27 июнь 2014, в 19:00

Источник

0

Ограничение доступа обычно выполняется в фильтре авторизации, который бы украшал ваш контроллер. В реализации фильтра вы можете проверить токен в ваших заголовках и, возможно, отклонить запрос, используя: actionContext.Response = actionContext.Request.CreateResponse (HttpStatusCode.Unauthorized);
Tomas Grosup 27 июнь 2014, в 17:00
0

Я уже использую фильтр авторизации для обычной аутентификации на уровне пользователя для определенных методов API, но это не дает мне уровня защиты для блокировки неавторизованных клиентов. По сути, сейчас любой пользователь может напрямую вызвать API для создания учетной записи и манипулирования своими собственными данными. Меня особенно беспокоят люди, вызывающие метод Register (который должен разрешать анонимные пользователи, чтобы отдельные лица могли создавать учетные записи) и рассылающие спам этот метод для создания большого количества поддельных учетных записей (я могу отличить их, потому что я использую подтверждение по электронной почте, но я не хочу DDoS-атак).
Mike 27 июнь 2014, в 18:08
0

В этом случае вы можете сохранить попытки в веб-кэше со скользящим сроком действия (например, 1 минута) с идентификатором sesssion в качестве ключа. Перед каждой попыткой вы будете проверять, сколько попыток произошло за последнюю минуту, и если оно превысило пороговое значение, вы прекращаете выполнять регистрацию.
Tomas Grosup 29 июнь 2014, в 20:02
0

У меня такой же вопрос и я ищу ответ ??
Atul Chaudhary 07 авг. 2015, в 03:03

Показать ещё 2 комментария

Теги:

c#

.net

api

asp.net-web-api2

restful-authentication

1 ответ

Ещё вопросы

Ограничение доступа обычно выполняется в фильтре авторизации, который бы украшал ваш контроллер. В реализации фильтра вы можете проверить токен в ваших заголовках и, возможно, отклонить запрос, используя: actionContext.Response = actionContext.Request.CreateResponse (HttpStatusCode.Unauthorized);
Я уже использую фильтр авторизации для обычной аутентификации на уровне пользователя для определенных методов API, но это не дает мне уровня защиты для блокировки неавторизованных клиентов. По сути, сейчас любой пользователь может напрямую вызвать API для создания учетной записи и манипулирования своими собственными данными. Меня особенно беспокоят люди, вызывающие метод Register (который должен разрешать анонимные пользователи, чтобы отдельные лица могли создавать учетные записи) и рассылающие спам этот метод для создания большого количества поддельных учетных записей (я могу отличить их, потому что я использую подтверждение по электронной почте, но я не хочу DDoS-атак).
В этом случае вы можете сохранить попытки в веб-кэше со скользящим сроком действия (например, 1 минута) с идентификатором sesssion в качестве ключа. Перед каждой попыткой вы будете проверять, сколько попыток произошло за последнюю минуту, и если оно превысило пороговое значение, вы прекращаете выполнять регистрацию.
У меня такой же вопрос и я ищу ответ ??

broersa · Answer 1 · 2018-03-06T05-28-00.000Z

Взгляните на параметр knownClientApplications в манифесте Active Directory. https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-application-manifest