Bałam się z budowaniem kątowej aplikacji z przodu, który mówi do reszty API (Rdzeń .NET). Pytanie, które mam w tej chwili odnosić się do tego, jak powinienem poradzić sobie z poufnymi informacjami (nazwa użytkownika / hasło), gdy publikuję dane do interfejsu API?

Jako przykład to, co mam teraz przedni koniec, który przesyła nazwę użytkownika / hasło jako zwykły tekst w treści żądania. Wydaje się to źle i nie czuje się dla mnie bezpiecznie, ponieważ jeśli masz narzędzia Dev Otwórz, możesz zobaczyć kredyty w ciele słupka jak:

{
  "username": "test",
  "password": "test"
}

Następnie na tylnym końcu to robię i porównuję wynik, co jest zapisywane w DB:

string hash = Convert.ToBase64String(KeyDerivation.Pbkdf2(
    password: password,
    salt: salt,
    prf: KeyDerivationPrf.HMACSHA1,
    iterationCount: 10000,
    numBytesRequested: 128 / 8
));

Jeśli jest to mecz, jaką wysyłam token i boba twojego wuja, jesteś zalogowany.

Jak mogę wysłać kredyty z mojego ui -> API w lepszy sposób?

Dzięki!

0
Nick Orlowski 20 październik 2020, 01:49

1 odpowiedź

Najlepsza odpowiedź

Wysyłanie nazwy użytkownika i hasła jest głównie wykonywane, wykonując posterunek HTTP.

Uruchamianie aplikacji na SSL (HTTPS) zapewnia przechwycenie przesyłania danych.

1
Ayush Vipul 19 październik 2020, 23:00