Ho appena acquistato la sicurezza API Web ASP.NET di Badri L's nel tentativo di apprendere i mezzi meno costosi per proteggere la mia WebAPI, in termini di time-to-implement. Non ho esperienza con la sicurezza e sto cercando una soluzione che sia "abbastanza buona" per rendere l'app utilizzabile senza inviare testo in chiaro sul filo.
L'app è costruita su .NET Web API e serve i client JSON to HTML / JS SPA. Alla fine i client richiederanno le proprie chiavi API.
Per ora, devo consentire agli utenti di accedere e registrarsi in modo sicuro utilizzando un nome utente / password da questi client.
Ho iniziato a implementare l'Autenticazione di base per capitolo 8 "Fattori di conoscenza" nel libro sopra menzionato a causa della semplicità, tuttavia sembra che questo costringa i client a utilizzare una finestra di dialogo del browser per raccogliere le credenziali, invece di raccogliere da un modulo.
C'è un modo per aggirare questo e usare un modulo? In caso contrario, cosa suggeriresti come soluzione di sicurezza alternativa?
Stavo considerando l'autenticazione basata su form ma non sono sicuro di quali siano i pro / contro nel contesto di WebAPI; non c'è menzione nel libro.