在我的.NET服务器中,我使用Rest API执行来自我的客户端(WPF、MVC、IOS和Android)的CRUD操作。我的身份验证和授权服务器是Identity server。
保护我的API的最佳安全方式是什么?是SSL、Oauth2&openID连接还是不连接?
我读过Oauth2&openID连接适用于登录机制,而不适用于API,这是真的吗?
OAuth 2.0是一个授权框架,允许客户端(应用程序)代表用户(资源所有者)访问API。
OpenID Connect是OAuth 2.0之上的一个层,它允许用户登录到web应用程序。
您可以使用OpenIDConnect允许用户登录MVC应用程序。然后,它可以使用代码授权流来获取API的令牌。
然而,您的WPF和移动客户端(Android/iOS)将使用隐式流或没有客户端机密的代码授权流来获取令牌以与您的API通信。