http://www.cnblogs.com/codeon/p/6123863.html
http://open.taobao.com/docs/doc.htm?spm=a219a.7629140.0.0.JVwwkO&treeId=1&articleId=101617&docType=1
https://www.asp.net/web-api/overview/security/individual-accounts-in-web-api
http://www.cnblogs.com/n-pei/archive/2012/05/29/2524673.html
一、IIS/AsP.NET认正
1.Basic认证
2.Digest认证
3.集成windows认证
二、SSL/TLS
1.非对称加密
2.通过 ssL/TLs实 现传输安全
3.ssL/TLs的 应用
三、第三方认证
1.0Auth2.0简 介
2.Implicit Authorization Grant
3.Authorizauon Code AuthorizaHon Grant
【ASP.NET Web API】Authentication with OWIN
验证流程
- 用户第一次访问 api,提交用户名、密码和 client id(即应用程序 id,说明来自哪个应用程序)。
- 服务器返回 access token(有效期较短,如半小时)和 refresh token(有效期较长,如半年)。
- 半小时内,用户可使用 access token 与服务器交互,不需要提交用户名和密码。
- 半小时后,access token 到期,用户需提交 refresh token 和 client id 来获取新的 access token。
- 每次刷新 access token 后,原 refresh token 会被删除,然后生成一个新的 refresh token,有效期顺延。
- 如果用户在 refresh token 有效期内没有访问过服务器,那么 refresh token 失效,下次访问时需提交用户名和密码。
ASP.NET Web APIs 基于令牌TOKEN验证的实现