Проверка подлинности с помощью токена Web API против пользовательской проверки подлинности с помощью токена

Question

Очень много нового для веб-API. Попытка реализовать метод token, который Web API использует для аутентификации пользователя по базе данных, и использовать token для всех последовательных вызовов API. Но мне очень трудно следовать инструкциям, чтобы сделать то же самое для mysql DB. Я также чувствую, что это сложный процесс для простого входа в систему.

Так что мой вопрос вместо использования метода Web API token. Почему бы не иметь традиционную функцию входа в систему (web api), которая проверяет userid/pwd против db userid/pwd? Который генерирует токен, подобный AuthenticationTicket в ApplicationOAuthProvider, и отправляет его как response для вызова ajax и сохраняет в javascript sessionStorage для последовательных вызовов.

Какая разница с точки зрения безопасности / общего в обоих случаях?

Answer 1

При использовании токена для аутентификации необходимо учитывать множество факторов.Если вы используете стандартную реализацию токена, такую ​​как JWT, вы получите все это из коробки.

• Обработка истечения срока действия
• Защита от взлома (подписано)
• Зашифровано
• Воспроизвести защиту от атак
• На основе заявок
• Децентрализовано

Если вы хотите использовать собственную реализацию токена, в этом случае вынеобходимо обрабатывать все это самостоятельно, что может занимать много времени и быть уязвимым.