все.
Я строю проект, состоящий из ASP. NET Core 3.1 WEB API (серверная часть), который будет использоваться отдельным приложением Angular 8, которое я создаю, а также Стороннее приложение, которое размещается в облаке (не Azure или AWS) через запросы https.
Я реализовал токены JWT и храню токен в локальном хранилище клиентского браузера и использую этот токен для авторизации моих запросов на моем бэкэнде.
Проект (. net core API и Angular) будет размещен на Azure.
Мне было интересно, есть ли дополнительный шаг для улучшения моих API авторизации, и я подумал о следующем:
- Включение MFA, таких как SMS, это здорово, но я не могу использовать этот подход из-за некоторых ограничений работы: (
- Использование некоторого вида Идентификатор приложения (может быть, сгенерированный Azure) для добавления дополнительного уровня безопасности? В основном идентификатор или строка символов, которые только я знаю и использую во всем приложении?
I читал документацию MS для реализации более безопасных API, которые пытались охватить лучшие методы для предотвращения атаки, и на данный момент у меня есть следующее:
- CORS
- HSTS
- HttpsRedirection
Однако нет информации о том, как добавить дополнительный уровень безопасности при запросе к API, был ли этот запрос от моего Angular приложение или от третьей стороны Приложение, которое позволяет нам отправлять запросы API.