我正在尝试创建一个使用web API执行数据库操作的web应用程序。我在工作中创建了一个项目,在API级别上使用Windows身份验证。由于这是一个intranet web应用程序,我不需要在web应用程序上实现登录机制。然而,我正在进行的这个项目可以是私人或公共网络应用程序,我想实现登录机制,但我希望能够指定使用什么类型的安全,即LDAP、通用用户名/密码、谷歌、脸书等。
问题是,在Web应用程序和Web Api上实现安全性的最佳策略是什么。对于WebApi,我可能会像其他Api一样实现一些软令牌机制。但不确定是否还有其他方法。
像谷歌、脸书这样的登录选项是在前端完成的吗?或者我可以在WebApi端实现它吗?
这种情况下的最佳实践,
- Web应用程序:客户端证书身份验证或用户名/密码
- 网站API:JWT
或者如果目标公司在公司域中使用G套装,谷歌也可以。您可以使用电子邮件地址的域名设置筛选器。