如何使用 NANCY 和 RESTsharp 在 .NET 中实现 REST 调用的安全性？

Question

如何向我的 REST 应用程序添加安全层，我可以控制我的服务器和客户端， 我使用 NANCY 作为服务器和 RESTsharp 作为客户端。

如果 REST 支持无状态，我很难理解如何确保调用安全。

谢谢

Answer 1

克里斯蒂安的评论可能足以满足您的需求。它展示了如何使用 Nancy 加载项进行 Basic 或 FormsAuth，并且 RESTSharp 确实支持开箱即用的 Basic 身份验证。

我在工作中构建 Nancy 驱动的 REST API 已经有一段时间了，我们使用 RESTSharp 以及纯 HTML+JS 作为客户端，并且我们选择实现我们自己的基于会话的身份验证（部分原因是这些加载项我们实施时不存在）。然而它的好处是，无论客户端支持什么，它的使用都很简单。我将快速解释它是如何工作的。

客户端发送其用户名和密码（或者，如果您愿意，还可以发送标识符和密钥）以使用 POST /sessions（使用 HTTPS）创建新的会话资源。该资源包含一个可用于后续调用的会话密钥。会话在 X 分钟不活动后过期。

对服务的每次调用都需要有效的会话密钥（创建会话除外）。密钥以 cookie 或查询字符串的形式提供。使用 RESTSharp 时，我们通常将其设置为 cookie，并继续重复使用它，除非它过期。

最后，可以通过调用 DELETE /session/{key} 来销毁会话。

这是保护 REST API 的一种简单但有效（假设是 HTTPS）的方法。

或者，您可以实现 OAuth，RESTSharp 显然也支持开箱即用。