Ich arbeite vor kurzem an einem WebAPI-Projekt, bei dem ich einige Endpunkte für andere Intranet-Webanwendungen öffnen werde, um einige meiner Daten in meinem OracleDB-Tabellenbereich auszuwählen. Eines meiner Hauptanliegen ist jetzt das Sichern der WebAPI gegen ungültige Aufrufe meiner API.HMAC Auth-Ansatz in WebAPI/Web-Anwendungen
Ich schaue mir den HMAC-Ansatz an, bei dem ich eindeutige Schlüssel mit verschiedenen autorisierten Web-Apps teile, die meine API aufrufen können.
Meine Frage ist,
Angenommen, ich Key A mit WebApp A und Key B mit WebApp B teilen, kann der Entwickler von WebApp A verwenden Key A mit seinem anderen WebApp C Zugriff auf meine API zu gewinnen und machen ‚zugelassen‘ Anrufe? Der für sie freigegebene Schlüssel ist anfällig für Missbrauch in anderen Anwendungen.