Sicherung .Net Core Web Api für Angular 2

Question

Ich möchte eine Anwendung vollständig in Angular2 bauen, die ihre Gespräche mit der Datenbank tun wird, indem sie Anrufe an .Net Core Web API senden. Es gibt viele gute Artikel zum Aufbau der Web-API-Ebene und meine ng2 ist in Ordnung, aber ich habe Mühe, Material zu finden, wie ich die Web-API für meine Angular 2-Anrufe und möglicherweise für Anrufe von Drittanbietern sichern kann. Ich bin offen für irgendwelche Sicherheitsmechanismen (Oauth2?). Jede Anleitung wird geschätzt.

Answer 1

Haben Sie sich dieses Azure-Sample auf GitHub angesehen?

https://github.com/Azure-Samples/active-directory-angularjs-singlepageapp-dotnet-webapi

Hoffnung, das hilft.

Answer 2

Das Sichern eines WebApi erfolgt normalerweise mit OAuth2 (access_token). Dazu müssen Sie Ihren eigenen OAuth2-Token-Generator-Server implementieren oder Sie können den Identity Server 4 verwenden (mit Identity Server erhalten Sie die SSO-Funktionalität). Auf Login die Angular App wird ein Zugriffstoken und senden es in den Header jeder Anfrage an den WebApi, die WebApi validiert das Zugriffstoken und genehmigen die Anfrage erhalten (zu tun haben, dies der Identity Server bereits eine js Bibliothek und eine Menge von Proben auf GitHub).

Werfen Sie einen Blick auf https://github.com/IdentityServer/IdentityServer4

Answer 3

Sie die App auf WebAPI mit Authentifizierung und Autorisierung sichern kann. Wie bei den anderen Antworten können Sie die tokenbasierte Authentifizierung verwenden. Sie können viele Online-Materialien dafür finden. Eine Hauptsache beim Sichern einer API besteht darin, sicherzustellen, dass der autorisierte Benutzer nur Zugriff auf die Ressourcen hat, auf die er Zugriff hat. Ich habe bemerkt, dass viele Entwickler dies ignorieren. Das Anwenden von Authentifizierung und Autorisierung ist nicht genug, aber wir müssen sicherstellen, dass der autorisierte Benutzer nicht auf die Daten eines anderen Benutzers mit derselben Autorität zugreifen kann.