登錄用戶在Web API應用程序

Question

我已經編寫了一個C＃的Web API應用程序和一些電話需要用戶

這裏是我當前的代碼登錄的用戶。

[InitializeSimpleMembership] 
public bool TestLogon(string userName, string password, bool rememberMe) 
{ 
    return WebSecurity.Login(userName, password, persistCookie: rememberMe); 
} 

我的問題是這樣的： 上述呼叫有多安全？上述代碼對於商業應用程序是否足夠安全，如果不是，那麼如何改進代碼？我是否需要實施任何類型的AntiForgeryToken？

在此先感謝

Answer 1

請參閱下面的答案。

1.如何安全的是上面的調用

因爲，在默認情況下，該證書是不加密的，所以如果有不到位像SSL來保護通信的任何加密，數據也不會安全。來自here的更多詳細信息

2.上述代碼對於商業應用程序是否足夠安全，如果不足，如何改進代碼？

像其他人一樣建議，您最好使用基於令牌的安全性，並啓用SSL通信。這link是真正有用的

3.我是否需要實行任何形式的AntiForgeryToken的？

是的，你將不得不防止跨站請求僞造attacks。

希望得到這個幫助。