基于HttpListener的自托管站点——如何处理身份验证

本文关键字:何处理 处理 身份验证 基于 站点 HttpListener | 更新日期: 2023-09-27 18:12:36

如果您正在构建围绕HttpListener的自托管网页,您如何以安全的方式处理身份验证?我不想使用基本身份验证,因为它将凭据作为明文传递。我知道digest是另一个选项,

        listener = new HttpListener();
        listener.Prefixes.Add(url);
        listener.AuthenticationSchemes = AuthenticationSchemes.Digest; 
        listener.Start();

它是否足够安全,实际抓取用户名/密码并对其进行身份验证的标准/最佳实践是什么?

在这种情况下,没有web。默认情况下配置或托管环境。

基于HttpListener的自托管站点——如何处理身份验证

使用HttpListener的身份验证意味着Windows使用其内置的身份验证系统(即ActiveDirectory)为您进行身份验证。这意味着对于摘要身份验证,您需要为您的用户创建域帐户。这就是你想要的吗?如果您想执行自己的自定义身份验证,那就比较复杂了。我不会讲怎么做除非你说这是你想要做的

我会考虑实现对基于声明的安全性的支持。您必须处理安全令牌,但实际的用户身份验证可以"外包"给外部身份提供者。

你可以利用Windows身份基础(WIF)来处理大部分的工作。