Asp.net 在IIS请求到达时,使用RequestUri有选择地关闭身份验证/授权是否安全?
我有一个asp.NETWebAPI RESTful服务,它有一个OAuth2风格的基于令牌的授权安全性。该服务将为我的软件的每个客户端运行 他们希望有外部(即防火墙外)访问权限,我们将使用基于令牌的安全性,但也希望通过在其防火墙后运行的其他应用程序(其他非windows服务)连接到它,因为这些应用程序和IIS绑定中使用的端点仅在其防火墙后可用,跳过使用任何身份验证/授权 我认为允许这样做的一种方法是检查请求到达的RequestUri,如果这是一个端点,是防火墙访问后面的“内部”设置,那么我可以允许请求通过,而不检查安全令牌,也就是说,在我的Asp.net 在IIS请求到达时,使用RequestUri有选择地关闭身份验证/授权是否安全?,asp.net,iis,asp.net-web-api,Asp.net,Iis,Asp.net Web Api,我有一个asp.NETWebAPI RESTful服务,它有一个OAuth2风格的基于令牌的授权安全性。该服务将为我的软件的每个客户端运行 他们希望有外部(即防火墙外)访问权限,我们将使用基于令牌的安全性,但也希望通过在其防火墙后运行的其他应用程序(其他非windows服务)连接到它,因为这些应用程序和IIS绑定中使用的端点仅在其防火墙后可用,跳过使用任何身份验证/授权 我认为允许这样做的一种方法是检查请求到达的RequestUri,如果这是一个端点,是防火墙访问后面的“内部”设置,那么我可以允
ClaimsAuthorizationManager.CheckAccess的实例中只返回true
这看起来安全吗?是否有来自防火墙之外的人通过这个“不安全”的端点进入请求
提前感谢您提供的任何信息。答案似乎是否定的
我可以编辑我的本地主机文件并输入我想要的任何内容。如果我进去
127.0.0.1 timmy.peepcee.com
我可以通过timmy.peepcee.com
发送请求,IIS允许它进入,这是我得到的请求URI
似乎真的不可能有多个身份验证方案