问题 ASP.NET Web Api（REST）：使用用户凭据或令牌进行身份验证？保留“注册新用户”资源密码？

以下链接似乎涵盖了一些明智的DIY选项 http://codebetter.com/johnvpetersen/2012/04/02/making-your-asp-net-web-apis-secure/。 “基于公钥/私钥的代币”部分介绍了我过去曾经有效使用的方法，可能对您有所帮助。

目前虽然我正在使用 http://identityserver.codeplex.com/ 具有OAuth承载令牌的Thinktecture IdentityServer（“资源所有者密码凭证”授权类型）...我发现这是一组非常好的代码和示例，可让IOS客户端获取令牌并调用WebApi。

如果您真的必须保护您的注册屏幕，您可以使用设备上安装的客户端证书进行身份验证...再次，Thinktecture服务可以帮助您 https://identity.thinktecture.com/idsrv/docs/default.htm?RequestingatokenusingOAuth2.html。虽然注册过程是安全的 在使用nonce的电子邮件中激活/注册/密码重置链接的最佳做法是什么 例如电子邮件确认和激活等可以安全地公开访问 - 这完全取决于您的业务要求和所需的注册工作流程。

您至少应该使用传输级别安全SSL，但建议您使用邮件级安全性，例如加密任何令牌都是非常可取的 - OAuth规范对此有所说明 http://self-issued.info/docs/draft-ietf-oauth-v2-bearer.html#mitigation。

关于到期令牌 - 我们倾向于以与我们的密码更改策略相同的频率使我们的令牌到期;虽然保持有效时间是很重要的（以尽量减少令牌盗窃的影响），并考虑平衡您的要求。 OAuth具有刷新令牌的概念 为什么OAuth v2同时具有访问权限和刷新令牌？ 关于这个主题的一些争论和链接，我们目前没有使用这种方法，因为我们使用的ID服务器目前不支持这一点。

保持您的令牌安全也是一个考虑因素，例如：我们正在使用IOS中的KeyChain，但如果可能的话，还要考虑移动设备管理策略，好像这些令牌或密码是他们可能被窃取的设备之一，可能会考虑越狱检测，锁屏执行等。

以下链接似乎涵盖了一些明智的DIY选项 http://codebetter.com/johnvpetersen/2012/04/02/making-your-asp-net-web-apis-secure/。 “基于公钥/私钥的代币”部分介绍了我过去曾经有效使用的方法，可能对您有所帮助。

目前虽然我正在使用 http://identityserver.codeplex.com/ 具有OAuth承载令牌的Thinktecture IdentityServer（“资源所有者密码凭证”授权类型）...我发现这是一组非常好的代码和示例，可让IOS客户端获取令牌并调用WebApi。

如果您真的必须保护您的注册屏幕，您可以使用设备上安装的客户端证书进行身份验证...再次，Thinktecture服务可以帮助您 https://identity.thinktecture.com/idsrv/docs/default.htm?RequestingatokenusingOAuth2.html。虽然注册过程是安全的 在使用nonce的电子邮件中激活/注册/密码重置链接的最佳做法是什么 例如电子邮件确认和激活等可以安全地公开访问 - 这完全取决于您的业务要求和所需的注册工作流程。

您至少应该使用传输级别安全SSL，但建议您使用邮件级安全性，例如加密任何令牌都是非常可取的 - OAuth规范对此有所说明 http://self-issued.info/docs/draft-ietf-oauth-v2-bearer.html#mitigation。

关于到期令牌 - 我们倾向于以与我们的密码更改策略相同的频率使我们的令牌到期;虽然保持有效时间是很重要的（以尽量减少令牌盗窃的影响），并考虑平衡您的要求。 OAuth具有刷新令牌的概念 为什么OAuth v2同时具有访问权限和刷新令牌？ 关于这个主题的一些争论和链接，我们目前没有使用这种方法，因为我们使用的ID服务器目前不支持这一点。

保持您的令牌安全也是一个考虑因素，例如：我们正在使用IOS中的KeyChain，但如果可能的话，还要考虑移动设备管理策略，好像这些令牌或密码是他们可能被窃取的设备之一，可能会考虑越狱检测，锁屏执行等。