Asegurar la API web de ASP.net (REST) [cerrado]

Los JWT son una buena manera de abordar esto. Mis dos centavos serían sanear todos y cada uno de los comentarios del usuario en el lado del cliente (reduce el área de superficie para los ataques XSS), y utilizar cookies como medio para transportar el token entre el cliente y el servidor. Establezca los tiempos de caducidad del token en algo donde, incluso si se los roban, no será útil por mucho tiempo. Puede consultar las hojas de trucos de prevención de XSS que proporcionarán más información sobre la prevención de XSS. Y, por último, si se trata de una aplicación de nivel de producción, hágala concentrar o escanear con una herramienta como Mozilla Observatory . Espero que esto ayude.

Debería usar las nuevas tecnologías .NET Core de Microsoft. Entonces tienes atributos de la identidad central de ASP.NET. En su controlador, por ejemplo, simplemente escribe un atributo [HTTPS] antes para el cifrado, etc ... Mire el REST-API de David Roth que asegura el video con .NET Core, creo que el canal 9.

Deberías usar esto porque Microsoft quiere reiniciar sus tecnologías web. Nuevo Entity Framework Core en lugar de ADO.NET, nuevos mecanismos de enrutamiento (con atributos), patrón de estrategia de inyección de dependencias por defecto, compatibilidad multiplataforma en sus aplicaciones, la posibilidad de correr de la mano con la ventana acoplable (microservicios que se ejecutan en contenedores separados de la ventana acoplable). ) y, y, y ... cuento largo: eche un vistazo a .NET Core y .NET Core Identity para proteger la api.

Y en 2019 con .NET Core versión 3 también viene una GUI. WinForms e incluso WPF. Lamentablemente, hasta ahora no hay algo como "XAML general", pero Microsoft está trabajando exactamente en esto.