保护ASP.NET Web API服务的外部API端点安全(ASP.NET 4.6)
[英]Securing External API EndPoint for ASP.NET Web API Service (ASP.NET 4.6)
问题描述
我正在构建一个外部API端点,该端点将向订阅者发送电子邮件通知。 当订户ID(50个字符)和消息字符串传递到端点时,服务将通过电子邮件将消息发送到订户电子邮件地址。 由于服务的性质,无法通过IP地址或证书文件将其锁定或使用OAuth2。 第三方将在此端点上发送消息以发送给订户。
当前有100,000多个订户,如果一个恶意用户找到此端点,他们可以随机尝试使用订户ID并找到有效的订户,则给定几率,假设ID的长度超过50个字符,并且大约有50个字符100000个有效的订户ID。
保护此API端点的最佳选择是什么? 到目前为止,这是我的想法,或者添加只有第三方知道的api密钥,然后才能发送每个请求,并且/或者为每个订户生成一个令牌并将其保存到数据库,然后在端点上要求它们
1 个解决方案
解决方案1
1 已采纳 2019-03-12 22:09:23
使用JWT保证Web API安全的好方法是使用ASP.NET Core构建Web API,因为它是内置功能,所以使用起来容易得多。
另外,您对订户可以发送的电子邮件数量有一些限制吗? 为每个用户(每分钟,每小时,每天等)设置一个阈值可能是个好主意,这样您就可以避免受到可访问Web API的恶意用户的垃圾邮件攻击。
将文件从 ASP.NET MVC 4.6 应用程序发布到 ASP.NET Core Web API
[英]Posting a file from ASP.NET MVC 4.6 application to ASP.NET Core Web API
ASP.NET Web Api中可搜索GET端点的最佳实现
[英]Best implementation of a searchable GET endpoint in ASP.NET Web Api
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
ASP.NET 5 RC Web API +框架4.6 RC库
ASP.NET WEB API外部登录
Asp.net 核心 3.1 保护 API 和 web 应用程序
在ASP.NET Web API中重新初始化服务
将文件从 ASP.NET MVC 4.6 应用程序发布到 ASP.NET Core Web API
ASP.NET Web API 发布到外部 api
ASP.NET Web Api中可搜索GET端点的最佳实现
从Azure功能调用Asp.Net Web API端点
ASP.NET web api 上的文件上传端点损坏文件
Windows Service或Asp.net Web API RESTful服务?
相关标签