WebApi上的簡單安全設置

Question

我目前正在將我們的內部CRM系統公開給網絡，以便我們的員工可以在網絡外部使用它。數據正在通過asp.net WebAPI呈現給我們的Web應用程序。

我們在網站上設置了SSL。但是我正在考慮如何確保WebAPI的安全性免於惡意使用。我的想法是：

1. 跟蹤哪些IP地址正在訪問WebAPI，並且只允許我們驗證的地址來自員工。有動態IP地址的問題，我們可能會不斷更新有效IP地址的數據存儲。

2. 用戶必須登錄到系統。因此，每個向webapi發送的請求都會通過他們的登錄信息發送，這些信息將在webapi處理任何請求之前進行驗證。

3. 使用的WebAPI傳遞的設備的設備ID和驗證（幾乎相同的IP地址中的想法跟蹤1）

4. 具有唯一的客戶機側生成的訪問令牌其中大部分匹配起來在服務器側。

有沒有人對我列出的安全建議有任何建議？它是一點點還是過度殺傷？

只是想確保數據不會被黑客入侵，因爲如果有的話，我的屁股會在線。

在此先感謝

Answer 1

我真的選擇了完全不同的解決方案 - 更新合法的動態IP的將是地獄。

我想：

1. 創建一個使用「Intranet應用程序」，而不是使用「互聯網應用」
2. 主機的本地辦公網絡上的應用
3. 建立VPN到您的Office新項目對於你的同事

這個解決方案對你來說可能嗎？