WPF客戶端WebAPI - 如何處理密碼驗證

Question

我正在開發與ASP.Net WebAPI和WPF客戶端/服務器應用程序。 現在我正考慮通過https對基本身份驗證進行身份驗證。您可以提出更好的解決方案，但Windows身份驗證和服務器端會話不適用於我。

對於基本身份驗證，我需要用純文本（base64）在客戶端上的密碼通過電話發送每個請求，對不對？

但我不希望用戶在每次請求時重新輸入密碼，所以我在應用程序啓動時有一個登錄窗口。

WPF PasswordBox使用SecureString並且未綁定到視圖模型。但至少在請求之前，我必須將密碼作爲普通字符串來將其編碼爲base64。 因此無論我做什麼，遲早密碼都以純文本格式存儲在RAM中。

以後的請求保存密碼的最佳做法是什麼？

• 緩存PasswordBox
• 緩存SecureString的
• 高速緩存中的純文本字符串，因爲它會在RAM任一方式
• 高速緩存中的base64編碼字符串，因爲它至少是不明顯;）
• ...？

那麼我該如何處理這種合理安全的方式呢？ 大型玩家（MS，Google，Apple，...）的其他應用程序不會爲每次通話請求我的密碼，所以必須有一種方法。

Answer 1

您應該讀取身份驗證令牌，這是一種常用的方法，而asp.net-web-api框架提供了OWin提供的許多功能。

基本上流程如下：

• 身份驗證在你的網絡API。
• 返回一個標記
• 使用此令牌中的每一個標題下面的網絡API/HTTP請求

好處：

• 不存儲在內存中的用戶名和密碼（只需一個電話）
• 令牌可以在服務器端無效
• 帶有web-api2的開箱即用功能

你可以閱讀一下： http://bitoftech.net/2014/06/01/token-based-authentication-asp-net-web-api-2-owin-asp-net-identity/

至於你的WPF客戶端：

您可以創建一個。通過網絡客戶端的HTTP/Web的API請求：

HttpClienthttps://msdn.microsoft.com/en-us/library/system.net.http.httpclient%28v=vs.118%29.aspx

一些僞代碼如下所示：

public async Task<IEnumerable<DataContainer>> GetDataForTarget(string id) 
{ 
    var requestMessage = new HttpRequestMessage(HttpMethod.Post, new Uri(new Uri(Host), 
     string.Format("api/Data?id={0}", id))); 

     var response = await Client.SendAsync(requestMessage); 

     //etc... 
} 

注： 對於基於令牌的安全性你需要https，否則令牌可能被攔截。每個知道令牌的人都可以代表相應的用戶撥打web-api。因此，問題基本上從保護密碼轉移到保護令牌。令牌的好處是它的壽命應該比密碼短得多，這就是爲什麼它更安全。儘管如此，將標記存儲在SecureString中仍是有爭議的。

在服務器端

這是

同時是個好習慣（或者即使你不這樣做不道德），其前提是用戶可以選擇自己的密碼，您在使用單向加密機制的服務器來存儲密碼。

這可以通過使用（加密強）隨機salt和使用該非對稱hash加密使用該salt來完成。

要驗證用戶，只需使用存儲的salt加密傳入的密碼，並檢查它是否爲您提供存儲的散列值。在這種情況下，沒有真正的密碼將被存儲在您的服務器上，並且無法檢索用戶密碼（....以及ehh排除一些技術細節）。