我需要使用 Web API,并对这些调用实施安全性。我知道如何在 WCF 中做我需要做的事情,但是 Web API 在其变得更简单的努力中令人沮丧。SSL,我想我明白了。我在服务器上安装了一个证书,不知何故我还需要在客户端上安装它,我通过将证书添加到WebRequestHandler.ClientCertificates
属性中来设置它......我认为这就是它的工作原理。
但我也想实现消息安全,我使用安装在客户端和客户端上的个人证书对消息进行签名和加密。然后可以使用该证书来验证客户端的身份,并处理消息。
那么,我的问题是三个方面
- 我是否正确理解其中的 SSL 部分?
- 我可以实施第二个证书来签署消息,还是 Web API 中不存在此功能?
- 如果无法使用证书,那么 X509SecurityToken 呢?我找不到任何这样的例子。